ランサムウエアによる攻撃(ランサム攻撃)は役割を分担した複数の攻撃者が連携しており、「RaaS▼」と呼ばれるエコシステムを形成している。このエコシステムの中で「始まり」の位置にいるのが、「初期アクセスブローカー(IAB)▼」と呼ばれる攻撃者だ。
IABは、不正に取得した被害組織へのアクセス情報をランサム攻撃の実動部隊である「アフィリエイト」に提供する(図1)。つまり、ランサム攻撃のきっかけになっている。ここ2年ほどのランサムウエアの台頭と共に、その存在感を急激に高めている。
とはいえIABはランサム攻撃以外の攻撃者とも取引するので、RaaSのエコシステムの一部として組み込まれているわけではない。IABが他の攻撃者にアクセス情報を提供することをAaaS▼と呼ぶこともある。また、マルウエアに感染した端末のネットワーク(ボットネット)をサービスとして提供▼する攻撃者も、役割的にはIABと重なる部分が多い。
今回はIABの実体を、関係者の間では名前の知れた攻撃者が公開した攻撃マニュアルの内容を交えて解説する。なお、この攻撃マニュアルは2021年に話題になったアフィリエイト向け▼とは異なり、関係者にもあまり知られていない。
価値の高い認証情報を提供
そもそも、IABが扱うアクセス情報とは何か。その名称からは、被害組織に侵入するための「きっかけとなる認証情報」をイメージするだろう。しかし実際には、それよりもずっと幅広い情報が含まれている。
IABはきっかけとなる認証情報だけではなく、それらを悪用して「より価値の高い認証情報や各種リソース、およびデータへのアクセス情報」なども被害組織から窃取する(図2)。こうして窃取したアクセス情報やその窃取方法をハッカーフォーラムやアンダーグラウンドマーケット、匿名SNS▼などを通じて販売する(図3)。
IABが窃取したアクセス情報の価値は、情報の種類や量によって変わる。特に、被害企業の規模と権限の高さ▼がアクセス情報の価格を決める大きな要素となる。つまり、価値の低い情報を利用して、より大きな価値を持つ情報を入手する力もIABの手腕の1つと言えるだろう。
