増加するダークウェブの脅威とモニタリングの価値
サイバー犯罪者は年々増加傾向にあり、サイバー犯罪の温床になっているダークウェブの利用も拡大している。サイバー犯罪率は上昇しているのだが、まだダークウェブモニタリングに対してはどうやら気にしてない企業が多い状況である。しかし、違い将来、企業や組織はダークウェブモニタリングを定期的にしなければならない時期がくるかもしれない。
一般的な人からすると、ダークウェブは漏洩した情報が溢れるところ程度と認識しているようだ。 そして、漏洩したメール、ID、PW、企業の機密情報があるとわかっていても、回収することはできない、適切な対処法がわからない、すぐな何かが起こるわけではないとの理由で放置されたり、見なかったことにしたりするケースも少なくない。
しかし、実情はかなり深刻で、様々な企業から漏洩した情報がダークウェブで活発に取引されており、取引量は増加している。
それだけではない。はるかに多いサイバー犯罪の副産物が取引されており、それによってダークウェブのデータ量増え続けている。 「ダークウェブモニタリング」がますます必須的なセキュリティ強化方法として検討しなければならない理由だ。
ダークウェブモニタリングで考慮すべきポイント
ダークウェブをモニタリングは、何の予備知識も無く始めるのはかなり危険だろう。なぜなら、ダークウェブに入るためには特殊なソフトウェアと知識が必要であり、一歩間違えると逆に自分の端末がハッキングされる恐れがあるからだ。まずは専門家または専門会社と相談すべである。
また、ダークウェブで暗躍している悪意のあるハッカーの動きを把握することで少しでも早くサイバー攻撃を回避できるということを念頭にいれておきたい。
1. 情報窃取マルウェア
レッドライン(Redline)、ラクーン(Raccoon)、ヴィダル(Vidar)、タイタン(Titan)、オーロラ(Aurora)はダークウェブで最もたくさん取引される情報窃取マルウェアだ。実際に知名度も認識も最も高い。このようなソフトウェアを使って、モニタリングをしようとしたが、逆にこのマルウェアに感染してしまい、各種情報が漏れる恐れがある。 実際、サイバー犯罪者も自らこのような種類のマルウェアに感染する場合が多い。
情報窃取マルウェアは単に情報窃取で終わらない。 攻撃者たちは、このマルウェアを通じて得た情報をもとに、ランサムウェアなど更なる攻撃計画を立てる。企業の情報が窃取される場合、攻撃者はこれを土台に各種脅迫を始めることもある。 現時点で情報窃取マルウェアはすべてのサイバー攻撃の始まりと言っても過言ではない。
したがって、情報窃取マルウェアと関連したダークウェブ現況をモニタリングするためには、会社網と分離されたシステムで利用することをお勧めする。 セキュリティ強化をしようとしたが、かえって攻撃者に攻撃ルートを無料で提供することになる。
2. 初アクセスブローカー(IAB)
ダークウェブで最近浮上しているのは、最初に接近したブローカーたちだ。 彼らは数多くの企業や機関に侵入することを専門としている。 いくら強力な攻撃だとしても被害者ネットワークに浸透できなければ何の役にも立たないが、このブローカーがこの問題を解決してくれる。彼らは最初の浸透経路だけを確保して販売し、実質的な攻撃は実施しないのが普通だが、当然ながら例外もある。
彼らがダークウェブで最初の浸透経路を販売するといった時、実際に渡す情報は次のとおりだ。
1) 侵害された機器およびサービスの数
2) 被害企業の業種
3) 企業が使用中のワクチンや各種セキュリティソリューション
4) 企業の収益と従業員の規模
5) 企業の地理的位置づけ
6) 侵害されたホストとサーバー情報
このようなブローカーの活動をモニタリングすれば、どの組織が侵害されたのかかなり早期に把握できる。 良い早期警報になりうるのだ。したがって、ダークウェブモニタリングを始めたが、どこから何をすべきか分からなければ、最初の浸透ブローカーが活動するところから探して観察してみるのが良いかもしれない。
3. ランサムウェアグループの脅迫ページ
ランサムウェア団体が企業化されたということは以前から知られている事実だ。最近、ランサムウェア攻撃者たちは被害者たちを直接的に脅迫し、被害者たちと交渉を進める専門ページを別に作って運営したりもする。これらのページは脅迫される企業と機関の名前を明示しており、情報公開までの残り時間をカウントダウンの形で表記する。その時間内にお金を払わないと、内部情報が公開され始める。
この戦術は非常に効果的だ。 ランサムウェアがファイルを暗号化することに止まる時より、さらに大きな圧迫を被害者に感じさせる。金を払わなければ情報を公開するという脅迫がランサムウェア攻撃者の間で導入された後、彼らの収益は大きく増えた。それと共にランサムウェア産業は急速に成長し、より多くのサイバー犯罪者がランサムウェア産業に参入している。
ダークウェブをモニタリングすると言った時、このようなランサムウェア攻撃者の脅迫ページを綿密に調べるのが役に立つ。もちろん攻撃者がすべての被害企業の名前をアップロードするわけではないが、ある時点では必ず名前が出るようになっている。被害企業や機関の名前を早く発見することで対処が少しでも早く始められ、このような小さな違いが後に大きな違いを生む。
ダークウェブモニタリング
ダークウェブが大きくなっているということは単純に言って取引されるマルウェアが増え、接近ブローカーの数が増加し、ランサムウェア脅迫ページが多くなるという意味だ。ダークウェブが大きくなっているということは犯罪関連情報が増加するということであり、したがってモニタリングの効果が高くなるといえる
実際、セキュリティ業界ではダークウェブモニタリングを代行するサービスが増えている。しかし、まだモニタリング、調査費用は非常に高額で平均費用は数百万円が相場となっている。とはいえ、上記で述べた理由から自らモニタリングすることは技術的なハードルとリスクが高く、そう簡単ではない。
ますます重要となっているダークウェブモニタリングを毎日安価で利用できるようにSaaS系のサービスを日本で初めて提供している会社がある。
(株)アイギステックはこのような状況にいち早く対応すべく、ダークウェブの情報漏洩をモニタリングまたは調査するサービスを提供している。
ZeroDarkwebというサービス名で、毎月5万円という安価な費用で毎日モニタリングを行い、漏洩が発生する場合は直ちに原因を特定し、対応することができるレポートを提示する。ZeroDarkwebが使っているツールはStealth moleという全世界で導入実績が豊富なエンジンを使用するため、調査においての正確性は業界でもトップクラスとして定評がある。
ダークウェブモニタリング導入は今後選択ではなく、必須となると予想される。効率的なソリューションまたはサービス導入を検討が必要だ。