サイバー犯罪活動が中断される場合、その原因は通常、高度な検出によるものではなく、身元の再利用、弱いインフラ分離、見落とされたメタデータなどの基本的な運用上の誤りによるものです。
最近Flare研究者によって観察・分析されたサイバー犯罪フォーラムの投稿において、脅威アクターは「大量カード詐欺作戦」向けに設計された構造化されたOPSECフレームワークを提示することでこれらの失敗に対処しようとしています。ツールまたは利益化に焦点を当てるのではなく、投稿は時間経過とともに検出されないようにする方法に完全に焦点を当てています。
アクターによると、このフレームワークは「他のチームが侵害されている間、チームを運用し続けた戦闘実証済みの方法論」です。この投稿はフォーラムのヒントというよりも内部運用マニュアルのように読め、3層アーキテクチャ、一般的な誤りの分類法、および情報活動プレイブックから借りた緊急時対応メカニズムが含まれています。
多くの技術は新しいものではありませんが、それらが明確な運用フレームワークに組織化される方法は、大規模活動を維持するためのより方法論的なアプローチを示しています。
防御者にとって、これはサイバー犯罪者が長期的な運用セキュリティをどのように構造化しているかについての稀な洞察を提供します。
3層OPSECアーキテクチャ
アクターの方法論の中核は、露出、実行、利益化を分離するために設計された3層インフラストラクチャモデルです。
公開層
アクターは、公開層は「クリーンなデバイス、48時間ごとにローテーションされた住宅用IP、個人情報ゼロ」で構成されるべきだと述べています。各オペレーターは個別のアイデンティティを維持する必要があります。
これは現代の検出機能に対する明確な理解を反映しています。不正防止システムはアイデンティティ相関と行動追跡に依存しており、アイデンティティの再利用が主要なリスクとなっています。
住宅用IPローテーションの使用は、アクターが正当なトラフィックに混ざるためにプロキシネットワークにますます依存している現実の不正キャンペーンとも一致しています。
運用層
-
コンパートメント化されたデータを含む暗号化コンテナ
-
専用インフラストラクチャ
-
ハードウェアバック付きキー管理
ここでの強調はコンパートメント化です:運用の1つの部分での侵害が全体のインフラストラクチャを露出させないようにすることです。これは現実のサイバー犯罪エコシステムを反映しています。たとえば、LockBitなどの最新のランサムウェアグループはアフィリエイトベースのモデルを使用して運営しており、異なるアクターがアクセス、実行、利益化をそれぞれ処理してリスク露出を減らします。
抽出層
最終層は利益化に焦点を当てています。アクターはこの層が「専用キャッシュアウトチャネルを持つ隔離システム」であり、可能な場合は「エアギャップ」であることを指定しています。アクターはまた「他の層との相互汚染なし」を強調しています。
これは重要な理解を反映しています:金融取引はしばしば調査が成功する場所です。キャッシュアウトインフラストラクチャを分離することで、アクターは不正活動と利益化の間のフォレンジックチェーンを破ろうとします。
依然として露出につながる誤り
アクターはサイバー犯罪活動を露出させ続ける複数の反復的な失敗を識別します。
アイデンティティの再利用
バーナーアカウントの再利用は主要なセキュリティリスクとして強調されています。脅威アクターによると、これは最も一般的な運用上の失敗の1つです。実際には、これは法執行機関がクロスプラットフォームのアイデンティティ再利用を通じてアクターをリンクさせることに成功した多数の調査と一致しています。
弱いフィンガープリント回避
アクターは「不十分なデジタルフィンガープリント対策」を批判しています。これは詐欺検出におけるデバイスフィンガープリントの重要性の増加を反映しています。最新のシステムは以下を分析します:
-
ブラウザとデバイスの特性
-
セッション動作
-
相互作用パターン
基本的なOPSECに対するアクターの軽蔑的なトーンは、VPNのみによるアノニマイゼーションは地下コミュニティ内でさえも十分ではないと考えられていないことを示唆しています。
ステージ間の不十分な分離
脅威アクターは「取得とキャッシュアウト作戦の分離が不十分」と指摘しています。
複数のステージで同じインフラストラクチャが使用されると、防御者は攻撃チェーン全体の活動をより簡単に追跡できます。アクターによると、運用寿命を維持するには厳密な分離が必要です。
メタデータ露出
アクターはまた「運用資料に関する不十分なメタデータ管理」を強調しています。
これは微妙ですが重要なリスクです。タイムスタンプやデバイス識別子などのファイルに埋め込まれたメタデータは、複数の現実の事例で脅威アクターを特定するために使用されています。
回復力を高めるための高度な技術
基本的な衛生習慣を超えて、アクターは運用耐久性を向上させるために設計された複数の高度な技術を概説しています。
-
時間遅延トリガー:アクターによると、「時間遅延運用トリガー」を実装することで、アクションとインフラストラクチャ間の相関を減らすことができます。この技術は一般的にマルウェアキャンペーンで観察され、遅延実行はフォレンジックタイムラインを複雑にし、原因と結果をリンクさせることをより困難にします。
-
行動のランダム化:アクターは検出を回避するために「行動パターンランダム化」を推奨しています。これは詐欺防止で広く使用されている行動分析システムを直接対象としています。正当なユーザー活動を模倣することで、攻撃者は自動検出メカニズムをバイパスしようとします。
-
分散検証:「分散検証プロトコル」の言及は、システムまたはオペレーター間での複数段階の検証を示唆し、単一障害点への依存を減らします。
-
デッドマンスイッチ:アクターは「重要なデータ用のデッドマンスイッチ」を提案しています。これらのメカニズムは特定の条件が満たされた場合に機密データを自動的に削除または無効化でき、検出を回避することだけでなく、物事がうまくいかない場合の被害を制限することに焦点を当てていることを示しています。
アクターのフレームワークから特定された主要なTTP
アクターの結論に基づいて、複数の明確なTTPが出現します:
-
爆発半径を制限するためのインフラストラクチャセグメンテーション
-
プラットフォームと層間でのアイデンティティコンパートメント化
-
行動分析を打破するための住宅用プロキシとアンチフィンガープリント技術の使用
-
アクセス、実行、利益化を含む運用ステージの厳密な分離
-
ユーザーパターンのランダム化による行動回避
-
デッドマンスイッチおよび時間遅延トリガーなどの回復力メカニズム
これらの技術は理論的ではありません。これらは他のサイバー犯罪作戦で観察される方法と一致しています。
競争上の優位性としてのOPSEC
記事の最も明らかな側面の1つは、アクターが運用セキュリティをどのように枠付けするかです。アクターによると、「VPNをまだあなたの主要なセキュリティ対策として使用している場合、レベルアップする必要があります。」
焦点は詐欺を実行する方法ではなく、時間経過とともに運用を続ける方法です。層間の厳密な分離、強制されたコンパートメント化、および組み込みの緊急時対応メカニズムはすべて明確な優先事項を指しています:中断の回避。
これはOPSECが単なる予防策ではなく、サイバー犯罪エコシステム内の競争上のフィルターになりつつあることを示唆しています。基本的な保護に依存するアクターは早期に露出する可能性が高くなり、構造化されたモデルを採用するアクターはより長く、より大規模に運用できます。
フレームワークは新しい技術を導入していませんが、それらを形式化しています。そしてより多くのアクターが同様のアプローチを採用するにつれて、アクセスを維持することは技術的能力から最長期間隠れたままでいることができる者へとシフトするかもしれません。
防御者が何をすることができるか
元の投稿は脅威アクターを対象としていますが、セキュリティチーム向けの貴重な防御的洞察を提供します。
-
クロスプラットフォーム相関の理解に投資:アイデンティティ再利用の回避の強調は、クロスプラットフォームおよびクロスセッション相関の重要性を強調しています。防御者はアカウント、デバイス、および行動パターン全体の活動をリンクさせることに焦点を当てるべきです。
-
行動検出を進化させる:フィンガープリントとランダム化に対するアクターの焦点は、静的指標への依存ではなく、高度な行動分析の必要性を強調しています。
-
攻撃チェーン全体を監視:ステージ間の厳密な分離は、防御者が初期アクセスから利益化まで異なるフェーズ全体で信号を接続する必要があることを意味します。
-
メタデータを活用:メタデータは活用されていないが強力な調査ツールのままです。適切な分析は、運用間の隠されたリンクを明らかにできます。
-
回復力のある敵に対する準備:緊急時対応メカニズムの使用は、攻撃者が中断に備えて計画していることを示唆しています。防御戦略は、したがって、予防だけでなく、回復力と適応性を強調する必要があります。
フォーラム投稿は、一部の脅威アクターが短期的なアクセスよりも運用寿命を優先する方法に光を当てています。アクターによると、失敗はツールの欠如からではなく、不十分な規律から生じます:アイデンティティ再利用、弱い分離、および運用上の誤り。
防御者にとって、これは課題をシフトさせます。攻撃者が寿命に焦点を当てるにつれて、検出は分離された指標を超えて、代わりに時間経過とともに行動、アイデンティティ、およびインフラストラクチャを接続する必要があります。
