- Cisco Talos は、攻撃キルチェーンが 2 つの段階(初期の侵害とその後のエクスプロイト)に分割され、それぞれが異なる攻撃者によって実行される傾向が強まっていることを確認しました。攻撃の分業化により、脅威モデリングと攻撃者のプロファイリングの複雑さと難易度が増しています。
- 今では、従来の初期アクセスブローカー(IAB)だけでなく、機会便乗型の攻撃者と国家支援の攻撃者も初期アクセスグループに含まれるようになっており、その特徴、動機、目的は大きく異なります。
- こうした脅威の進化に対応するため、Talos では初期アクセスグループの定義を見直し、金銭目的型初期アクセス(FIA)、国家支援型初期アクセス(SIA)、機会便乗型初期アクセス(OIA)というサブカテゴリを作成しました。
- これらの分類手法とそれぞれの違いを解説するために、既知の脅威グループの具体例をいくつか紹介しています。初期アクセスグループの動機を正しく理解することは、分業化された脅威を分析するうえで極めて重要です。次回のブログでは、複数の攻撃者が関与する攻撃キルチェーンをモデル化する方法について詳しく取り上げます。
初期アクセスとは
「初期アクセス」とは、攻撃者が標的のネットワークまたはシステム内に確立する最初の足がかりや侵入ポイントを指します。これは、サイバー攻撃のキルチェーンにおいて、攻撃者が長期的な作戦の目的(それが何であれ)に向けて行動を開始できる段階にあたります。初期アクセスを獲得する手段はさまざまで、ソフトウェアやハードウェアの脆弱性が悪用されたり、ログイン情報を取得するためにソーシャルエンジニアリング戦術が採用されたり、被害者が開いたり実行したりすると自動的にアクセスを許可する悪意のあるコンポーネントが送り込まれたりします。
近年、コンピュータネットワークへの初期アクセスの獲得を専門とする攻撃者の出現が確認されています。これらの攻撃者は初期アクセスブローカー(IAB)とも呼ばれ、獲得したアクセスを他の攻撃者に販売することで収益を得ています。購入者は、そのアクセスをスパイ活動や金銭目的で利用しているとみられます。つまり IAB は、サイバー犯罪エコシステム全体において極めて重要な役割を果たしています。IAB のおかげで、他の攻撃者は自分でアクセスを獲得しなくても迅速かつ効率的に攻撃を実行できるのです。
IAB と、ネットワークやシステムへのアクセスを譲渡する可能性のある攻撃者との区別は大変重要です。その理由は、組織のリスク評価と脅威モデリング、さらに侵入が発生した場合のインシデント対応の進め方に直接影響を与えるからです。また、侵入分析を複雑にする要因にもなります。多くの場合、侵入中に収集されたログデータを分析する際に、攻撃者間でアクセスの「譲渡」が行われたタイミングを特定することは困難だからです。
加えて、「初期アクセス」という用語が誤用され、オペレーショナル リレー ボックス(ORB)ネットワークや、Infrastructure-as-a-Service(IaaS)として提供されるネットワークなど、攻撃者が利用するインフラを指して使用されることがあります。ここで取り上げる「初期アクセス」とは、標的のネットワークへのアクセスのことであり、攻撃者が単に攻撃のためのインフラとして利用するネットワークを指すものではありません。
課題
現代の侵入分析における主要な課題の 1 つは、確認された攻撃者が IAB であるかどうかを正しく識別する能力です。この区別はセキュリティ運用において非常に重要です。侵入を担う攻撃者が初期アクセスのみを行う場合、防御担当者は攻撃の中心的な目的を遂行する可能性のある別の攻撃者の登場を予測し、備えなければなりません。しかし、初期アクセス攻撃の多くで、標的型攻撃者や Advanced Persistent Threat(APT)と同等の巧妙さ、標的設定、ツールの使用が見られるようになっており、IAB と、攻撃の全工程を実行する攻撃者を区別することはますます困難になっています。こうした戦術の共通点により、特に侵入の異なる段階において複数の攻撃者が関与している場合、攻撃者の特定は非常に複雑になります。
もう 1 つの課題は、分業化がもはや金銭目的のサイバー犯罪者に限られないという事実です。近年では、国家支援の攻撃者が同様の攻撃モデルを採用するようになっており、初期アクセスを実行した後、同じ国家機構内(軍や諜報機関など)の他の国家支援グループにアクセスを譲渡しています。場合によっては
、国家の支援を受けた初期アクセスグループが、金銭目的のランサムウェア攻撃者にアクセスを譲渡することさえあります。こうしたアクセスの譲渡は、戦略が絡んでいる場合もあれば、機を見て行われる場合もありますが、防御側にとっては重要な問題となります。つまり、適切な予防、検出、対応戦略を採用する際に、初期アクセスを取得した攻撃者だけでなく、侵入後の段階で活動する可能性のある他の攻撃者も考慮に入れなければならないのです。同様に、金銭目的の IAB に対する防御に用いられるハンティングおよび封じ込め戦略は、国家の支援を受けた初期アクセスグループには適さない可能性があります。通常、国家支援グループがアクセスを得るために行う攻撃は、よりステルス性が高く、標的を絞り込んでいて、持続性があります。
こうした脅威環境の変化を踏まえ、初期アクセスグループをより細分化して分類する必要があると考えました。具体的には、攻撃者が初期アクセスを取得する動機に基づいて初期アクセスグループ(IAG)を分類することが、攻撃者の正確なプロファイリング、攻撃の追跡、そして脅威モデリングには不可欠です。このように細分化して分類することで、防御担当者とアナリストは、後続の活動をより正確に予測し、攻撃者の意図を汲み取った対応戦略を立てるとともに、長期にわたる攻撃者特定の精度を上げ、脅威の状況についての理解を深めることができます。
IAB の定義の見直し
前述のように、保護されたシステムやネットワークへのアクセスを取得し、そのアクセスを第三者に譲渡するという概念は、金銭目的の攻撃者、国家支援を受けた攻撃者、または国家とのつながりのある攻撃者に限った話ではありません。こうした変化に対応して、Talos は IAB の定義を拡張し、より幅広い攻撃者の動機や所属を反映した複数の種類の初期アクセスグループ(IAG)を含めることを提案しています(初期アクセスの獲得に特化したグループのすべてが「ブローカー」ではないため、「ブローカー」を「グループ」に置き換えています)。したがって、ここでの IAG の定義は、攻撃者が関与する侵入攻撃の技術的な段階に厳密に従うのではなく、アクセスを取得して別のグループに譲渡するという攻撃の主目的に基づいています。初期アクセスグループは主に攻撃対象の環境への侵入に重点を置いており、キルチェーン内の後続の作戦には深く関与しない場合がありますが、ラテラルムーブメントや特権昇格、その他の高度な手法に必要な高度なスキルを持っていることもあります。初期アクセスグループに分類されるからといって、戦術、手法、手順(TTP)や能力の面で巧妙さに欠けるわけではありません。また、多くの IAG は初期アクセスを得ると同時に、譲渡が完了するまでアクセスが失われないよう、侵害を受けたホストやネットワーク上で持続的なアクセスを維持することもあり、この点も注目に値します。
攻撃者が IAG に該当するかどうかは、行動パターンの一貫性によって判断されます。あるグループが定期的にアクセスを譲渡している場合、アクセス譲渡前にラテラルムーブメントやデータのステージング、あるいは限定的な侵害後活動を行っていたとしても、最終目標が他の攻撃者への権限譲渡であれば、そのグループは IAG とみなされます。
IAG を一括りにして扱うのではなく、主な動機や組織的な連携に基づいてさらに区別することにします。具体的には、以下の分類を導入します。
- 金銭目的型初期アクセス(FIA)
- 国家支援型初期アクセス(SIA)
- 機会便乗型初期アクセス(OIA)
金銭目的型初期アクセス(FIA)
金銭目的型初期アクセス(FIA)グループは、金銭的利益を目的としてシステムを侵害することに重点を置いている点で、従来の IAB の定義により近い存在と言えます。このグループの主目的は、取得したアクセスを収益化することによって利益を最大化することです。国家支援の攻撃者にアクセスを売却することもありますが、買い手の正体を完全に把握していることもあれば把握していないこともあります。ただし、根本的な動機はあくまでも金銭的利益を得ることです。取引の背景にある動機は、政治的な目的や特定の任務ではなく、利益を得られるかどうかであり、この点で、国家支援型初期アクセス(SIA)グループや機会便乗型初期アクセス(OIA)グループとは明らかに違います。提供したアクセスの最終的な用途を気にかけることなく、金銭的利益の追求だけを活動指針としているのがこのグループです。
UNC961 としても知られる ToyMaker は、FIA グループの一例です。ToyMaker は通常、既知の脆弱なインターネット接続サーバーをエクスプロイトし、LAGTOY などのカスタムインプラントを使用して、重要インフラ組織などの高価値の標的への初期アクセスを獲得します。同グループは、Maze、Egregor、Cactus など、複数のランサムウェアグループにアクセスを譲渡していることが確認されています。
もう 1 つの例が TA571 という攻撃グループであり、マルウェア拡散用のスパムボットネットを運用したり、スパムメールに組み込まれることがある 404TDS を使用したりするとされています。以前の報告によると、TA571 は FIA グループとして活動しており、さまざまなマルウェアファミリを配布していることが確認されています。その中には、金銭目的の活動とスパイ活動の両方に関与してきた TA866/Asylum Ambuscade のような攻撃グループに関連するものもあります。さらに TA571 は、IcedID、NetSupportRAT、DarkGate などの亜種を含む他のマルウェアファミリの配布にも関係しているとされています。前述の分類に基づけば、TA571 は FIA グループに該当します。主な動機はおそらく金銭的なものだからです。
国家支援型初期アクセス(SIA)
国家支援型初期アクセス(SIA)グループは、通常、国家の軍事サイバー部隊、諜報機関、あるいは国家とつながりのある請負業者に所属しています。SIA グループは、政府機関や重要インフラ、戦略的産業といった高価値の標的への足がかりを築くことに重点を置いており、国家支援グループのより広範な作戦目標の達成を支援しています。このようなアクセスの譲渡は、多くの場合、典型的な攻撃キルチェーンにおける各フェーズを切り離す目的で行われます。このフェーズの切り離しによって、攻撃の各段階に特有のツールや TTP が露見するリスクが減り、攻撃者の特定が非常に困難になります。
重要なのは、攻撃の全工程を実行するのではなく、初期アクセスの確保に主に焦点を当てている場合に、そのグループが SIA グループに分類されるという点です。SIA グループの特徴は、たとえ攻撃キルチェーン全体を遂行する能力があっても、関連グループに初期アクセスを譲渡する慣行があることです。この意図的なアクセスの譲渡は、SIA グループを従来の APT グループと区別する決定的な特徴であり、国家が支援するサイバー作戦というより広い文脈において、SIA グループが果たす専門的な役割を浮き彫りにしています。
SIA グループの一例としては ShroudedSnooper が挙げられます。このグループは UNC1860、Scarred Manticore、Storm-0861 とも呼ばれます。ShroudedSnooper は IAG と広く認識されており、業界ベンダーは同グループをイランに関連するとしています。Talos は、ShroudedSnooper は SIA グループであると高い確度で評価しています。ShroudedSnooper はイラン政府とつながりがあり、主に担っているのは初期アクセスの獲得と、それに続く Web シェルやパッシブインプラント(HTTPSnoop、PipeSnoop など)の展開です。インプラントはその後、イランの APT 組織の下で活動する他の攻撃グループにアクセスを譲渡するために利用されます。ShroudedSnooper が持続的なアクセスを確立すると、後続の攻撃グループ(Storm-0842 など)が、データの持ち出しとスパイ活動、ランサムウェアの展開による金銭の獲得、あるいはワイパーの展開による業務妨害の目的でこのアクセスを利用するとみられます。
機会便乗型初期アクセス(OIA)
機会便乗型初期アクセス(OIA)グループは、前述の 2 つのカテゴリの中間に位置することが多いグループです。OIA グループの目的はおそらく金銭であり、収益を得る手段として、金銭目的または国家支援の攻撃者にアクセスを販売します。また、時と場合によっては異なる立場で活動することもあります。たとえば、政府の請負業者のような攻撃グループは、普段は SIA グループとして活動しながら、追加収入を得るために FIA グループのように振る舞うことがあります。国家支援の攻撃グループによる作戦が完了した後、「金銭的利益」を名目に初期アクセスが再販されることがあり、アクセスの再利用によって関与の否定が可能となり、フォレンジック上の混乱を招くおそれがあります。
OIA グループの一例としては UNC5174 が挙げられます。このグループに関連付けられているペルソナ「uetus」は、中国のハクティビストグループ騰蛇(Teng Snake)、別名:晓骑营(Xiaoqiying)/Genesis Day の元メンバーである疑いがあり、調査によると、国家支援グループのために活動する IAB だとみられます。Teng Snake チームは、2022 年に地下フォーラムで個人を特定できる情報(PII)と韓国保健省への初期アクセスを販売していたと報告されています。2023 年には、スパイ活動グループが高い関心を持つと思われる組織へのアクセスを UNC5174 が取得しました。主な標的となったのは北米、英国、オーストラリア、東南アジアの組織です。初期アクセスは、インターネットに公開されているサービスの既知の脆弱性を悪用し、その後、被害者への持続的なアクセスを維持するためのカスタムツールやオープンソースツールを展開することで取得されます。このアクセスはその後、UNC5174 によって収益化され、国家支援グループに譲渡されます。国家支援グループはアクセスを得ると、被害企業内で長期的なスパイ活動を行うために、より包括的な一連のタスクに着手します。
FIA グループと SIA グループ:類似点と相違点
FIA グループと SIA グループを比較すると、IAG の特徴(動機、目的など)の多くは大きく異なりますが、両グループが採用する TTP、ツールセット、インフラの多くは非常に似ていることが多く、両者を区別するのは困難です。たとえば、FIA グループと SIA グループはどちらも、スピアフィッシングメール、既知の脆弱性のエクスプロイト、独自のマルウェアをよく利用します。このような類似点があるにもかかわらず、いくつか固有の特徴が調査中に確認されています。そうした特徴は、攻撃の潜在的な動機を探る手がかりとなり、それだけでは動機を決定的に裏付けることはできませんが、貴重な指標となります。
標的の選定
SIA グループは、主に国家の戦略的利益に沿った標的(政府機関、重要インフラ、または任務を遂行する組織にとって戦略的に重要な産業など)に焦点を絞っています。最終的に金銭目的の攻撃グループにアクセスを譲渡したとしても、SIA グループの主な目的はあくまで国家の地政学的目標の達成にあります。
FIA グループは国家が関心を向ける組織を標的にすることもありますが、これは通常、偶然の一致にすぎません。というのも、FIA グループは機を見ることが多いうえ、一般的に標的の範囲が広く、攻撃の回数も多いと考えられるからです。
データ漏洩の実態
FIA グループは通常、侵害した環境内にある戦略的に重要なデータの特定、ステージング、持ち出しに多くの時間や労力をかけるよりも、ログイン情報を迅速に持ち出すことを優先します。FIA グループの観点から見ると、ログイン情報などの認証データは、アクセスを収益化できる主な方法の 1 つです。たとえば、ToyMaker によるマルウェア攻撃の初期段階では、価値の高い組織を標的にしていたにもかかわらず、重要なデータを見つけようとする試みは確認されず、ログイン情報以外のデータは環境から持ち出されていませんでした。これは、攻撃者の目的が金銭であるという仮説を裏付けています。一方、APT グループと連携する SIA グループも、初期アクセスを獲得した後にデータを持ち出す可能性があります。たとえば、ShroudedSnooper(Storm-0861)は、初期アクセスを獲得した後、被害者のネットワークからメールを持ち出したと報告されています。
譲渡プロセス
FIA グループは、ダークウェブフォーラムや非合法のマーケットプレイスを通じてアクセスを販売することがよくあります。これらのプラットフォームを監視することで、侵害を受けた組織を特定しやすくなり、その後の攻撃の防止に役立ちます。一方 SIA グループは、通常は公に宣伝することなく、管理されたチャネルやパートナーシップを通じて慎重にアクセスを譲渡します。
譲渡パターンの一貫性
SIA グループが APT グループと連携する際の譲渡プロセスは、より構造化され一貫している傾向があります。これは、同一または類似の攻撃グループと繰り返し連携しているからです。たとえば ShroudedSnooper の場合、Web シェルを使って受領側のグループにアクセスが提供され、システムに Web シェルがドロップされた直後に受領側(多くの場合は Storm-0842)が利用を開始するのが一般的です。このスムーズな連携により、過去に確認されたツールセットや行動に基づいた、より予測可能な譲渡パターンが形成されます。これは、攻撃グループ同士の将来的な連携において、同じ方法が攻撃全体で繰り返されることが多いからです。
FIA グループの場合、攻撃者は通常、アクセスを迅速に売却しようとしますが、市場取引プロセスや買い手側の作戦スケジュールによって、譲渡のタイミング(買い手側がアクセスの使用を開始するタイミング)は大きく異なります。ただし、ランサムウェアに特化した攻撃グループと密接に連携している FIA グループは、同じ攻撃者と長期間にわたって繰り返し取引しているため、より迅速かつ予測可能な譲渡が見られることもあります。
潜伏期間
FIA グループは、初期アクセスの価値を保つためにアクセスを迅速に収益化しようとするので、一般的に潜伏期間は短くなります。一方 SIA グループは、アクセスの譲渡を指示されるまで、長期間潜伏してステルス性を優先する場合があります。この点が SIA グループと FIA グループの違いです。というのも、SIA グループは、取得したアクセスをすぐに収益化するのではなく、作戦目的で使用するからです。作戦の進行具合によっては、アクセスの取得から作戦での利用開始までの期間が長引く場合があります。たとえば、イスラエルの被害者が標的にされたとされる ShroudedSnooper による攻撃では、ある被害者に対するアクセスが、初期アクセスの取得から 1 年以上経ってから譲渡されました。
関係の一貫性
SIA グループは通常、閉鎖的なエコシステム内で活動するか、国家機関と緊密に連携して活動しており、多くの場合、同じ APT グループと長期にわたる一貫した協力関係にあります。これに対し FIA グループは、ダークネット市場に広告を出して初期アクセスを収益化し、ランサムウェアグループ、データ窃盗犯、マルウェア攻撃者など、さまざまなタイプの攻撃者と連携しているとみられます。IAG と、IAG が繰り返しアクセスを譲渡する組織との持続的な関係を分析することで、FIA なのか SIA なのかを判断しやすくなります。侵入に関与した攻撃者が、金銭目的の攻撃者と国家支援の攻撃者の両方にアクセスを譲渡している場合は、OIA の活動とみなすことができます。
関係の特徴
IAG 同士がどのように関係しているかを調べなければ、再定義は完結しません。そのため、相互関係を 2 つの軸でマッピングしてみました。
協調レベル:IAG が相手グループ(侵害された環境へのアクセスを受領する側)に対して、どの程度直接的に協力したり、アクセスを譲渡したりしているかを示します。協力関係は短期間で終わる場合もありますが、攻撃グループ間で緊密に協調し、繰り返し連携しているケースもあります。
知識レベル:IAG グループが受領側のグループの正体や役割についてどの程度の知識を持っているか(あるいは持っていないか)を示します。匿名の関係または取引上の相手という場合もあれば、組織構造や作戦内容を完全に把握している場合もあります。
以下の 4 象限図は、こうした相互関係を例示したものであり、IAG をカテゴリ別にマッピングしています。各グループの位置付けについては、以降のセクションで説明します。
Q1:第 1 象限(協調「高」、知識「低」):第 1 象限に該当するのは、クライアントと緊密に連携して任務をこなし標的を絞り込んでいるものの、受領者の正体や動機を完全に把握しているわけではない IAG です。たとえば、ある国家支援グループが特定の被害者にアクセスするために TA571 から定期的にアクセスを取得していて、その際、自分の正体を相手には明かしていない場合です。
Q2:第 2 象限(協調「高」、知識「高」):大規模な組織内の IAG は、特定の標的へのアクセスを取得し、その後、同じ組織内の別のグループにそのアクセスを引き渡すという任務を負う場合があります。これらの攻撃グループは、緊密に統合されたエコシステム内、多くの場合は、国家支援の指揮系統(SIA)内で活動しています。この場合、IAG は明確な任務や作戦上の連携のもと、諜報部隊などの既知の組織と直接協力します。
たとえば ShroudedSnooper のような SIA は国家の指示に従って活動しており、ShroudedSnooper によって取得されたアクセスは通常、別の国家支援グループに譲渡されます。
Q3:第 3 象限(協調「低」、知識「低」):ここに該当する攻撃者は独立して活動しており、アクセスの譲渡先との接触は最小限で、相手に関する知識もほとんど持っていません。譲渡が行われる場合でも、その頻度は低く、機を見て行われる傾向があり、多くの場合は匿名のチャネルが使用されます。FIA グループの多くがこのカテゴリに該当します。
Q4:第 4 象限(協調「低」、知識「高」):ここに該当するのは、意図的に協調することなくアクセスを他のグループへ譲渡するものの、相手の正体を把握している IAG です。たとえばスパイ活動を行うグループが、過去の悪意ある活動のフォレンジック調査や分析を妨害する目的で、ランサムウェアグループにアクセスを譲渡する場合があります。
別の例としては、FIA グループがランサムウェアグループと提携しているケースが挙げられます。FIA グループがランサムウェアグループの正体を把握している可能性はありますが、協力は限定的と考えられます。この具体的な事例が、ToyMaker による過去の侵入活動です。ランサムウェアグループへのアクセスの譲渡のみが行われており、侵害を受けたホスト上で直接何か関与した証拠は見つかっていません。
まとめ
初期アクセスの種類によって、IAB が攻撃で果たす役割、初期アクセスの取得に用いられる TTP、初期アクセス直後に行われる活動、そして譲渡までの期間と手段は大きく異なる可能性があります。そのため、IAG の種類と、IAG が取引関係を持っている攻撃者の両方を理解することが重要です。侵入活動を分析する際には、こうした取引関係を把握するとともに、初期アクセスを獲得した攻撃者と、侵入後の段階で活動する攻撃者を区別する必要があります。特に、譲渡の証拠が見つかった場合は、この区別が重要になります。
Talos は FIA、SIA、OIA を明確に区別することで、より広範な脅威環境においてそれぞれのグループがどのように活動し、相互に関与しているかを理解するための、より明確な定義を提供しています。次回のブログでは、Talos が侵入分析および脅威モデリングに使用しているダイヤモンドモデルをどのように調整し、分業化された攻撃の微妙な違いを効果的に取り入れているかをご紹介します。これにより、脅威分析の精度が高まり、複雑な侵入事例における攻撃者の特定をより正確に行えるようになります。
本稿は 2025 年 5 月 13 日にTalos Group
Authors