イニシャルアクセスブローカー|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. イニシャルアクセスブローカー
             

イニシャルアクセスブローカー

イニシャルアクセスブローカー(Initial Access Broker、IAB)は、企業や組織のネットワークへの不正な「初期アクセス」を確立し、そのアクセス権を他の攻撃者や犯罪者に販売するサイバー犯罪者のことを指します。IABは、自ら攻撃を実行するのではなく、ネットワーク侵入の足掛かりを提供することで利益を得る役割を担い、そのアクセス権をランサムウェア攻撃グループや情報窃取を目的とした犯罪者に売却します。IABは、アクセスの取得・販売に特化した専門化した犯罪者集団で、サイバー犯罪市場における重要な存在です。

IABはフィッシングや脆弱性の悪用を駆使して初期アクセスを取得し、ネットワークやシステムに不正に侵入します。取得したアクセスは、そのシステムの規模やアクセスレベルに応じて価格が設定され、ダークウェブなどで取引されます。

イニシャルアクセスブローカーの活動手法

  1. フィッシング攻撃
    フィッシングメールや偽装サイトを用いて、標的となる企業の従業員から認証情報を盗み出します。フィッシングメールに添付されたマルウェアがシステムに感染し、IABが初期アクセスを確立するケースが多いです。
  2. 脆弱性の悪用
    リモートデスクトッププロトコル(RDP)、VPN、未修正のソフトウェア脆弱性など、組織の外部に露出している脆弱なサービスを悪用します。ゼロデイ脆弱性(パッチが提供されていない脆弱性)を用いることもあり、これによりシステムに直接アクセス可能となります。
  3. クレデンシャル(認証情報)スティーラー
    クレデンシャル(IDやパスワード)の窃取ツールを利用して、従業員の認証情報を入手し、内部ネットワークへの不正アクセスを行います。特にブラウザやメールに保存されたパスワードが狙われます。
  4. ボットネットの活用
    ボットネット(感染した端末のネットワーク)を利用して企業ネットワークに侵入し、リモートアクセスやVPN経由でアクセスを提供します。感染端末を通じて、ネットワーク内のアクセス権限を他の攻撃者に売却することもあります。
  5. リモートアクセスツール(RAT)の使用
    リモートアクセスツール(Remote Access Tool、RAT)を用いて遠隔でネットワークにアクセスし、さらにネットワーク内部で権限を取得していきます。権限昇格が成功すれば、さらに深いアクセス権を持つ情報を提供できるため、売却時の価格も上がります。

IABが提供する「初期アクセス」の価値

IABが提供する初期アクセスは、組織の規模や情報の価値、アクセス権の範囲によって価格が変動します。例えば、大企業や政府機関へのアクセスは高額で取引される傾向にあります。IABの取引対象は、以下のように分かれます:

  • 管理者権限:内部ネットワーク全体にアクセスできる管理者権限は、特に価値が高く、ランサムウェアグループなどが高額で購入するケースが多いです。
  • 特定システムやサービスのアクセス:ERPシステム、メールサーバー、クラウドサービスなど、特定のサービスやシステムに対するアクセスは、盗まれたデータの利用価値に応じて価格が決定されます。
  • ネットワークの入口:外部ネットワークやVPN、RDPといった外部からの入口が確保されている場合、内部システムにアクセスするための足掛かりとして利用され、アクセス権に対する価格が設定されます。

IABの販売先と利用目的

IABが提供する初期アクセスは、次のようなサイバー犯罪グループに販売されます:

  1. ランサムウェア攻撃グループ
    IABが提供するネットワークへの初期アクセスを利用し、標的企業のシステムにランサムウェアを侵入させ、データの暗号化や情報窃取を行う攻撃グループに売却されます。
  2. スパイ活動や情報窃取を目的とした犯罪者
    組織の機密情報や顧客データを狙う攻撃者が、IABからの初期アクセスを購入し、内部情報や競合情報の窃取を行う場合もあります。
  3. 金融詐欺グループ
    銀行口座やクレジットカード情報などの金融情報を盗むため、金融機関のネットワークへのアクセスを購入する犯罪グループもいます。これにより、経済的利益を得ることが可能です。
  4. ハクティビスト
    政治的・社会的な意図を持つハクティビストが、特定の組織や政府機関に対する攻撃を行うためのアクセスを購入し、活動に利用するケースも報告されています。

イニシャルアクセスブローカーによるリスク

IABによる初期アクセスの提供が、組織に対してもたらすリスクは以下の通りです:

  • 経済的損失:ランサムウェア攻撃によるデータ暗号化や業務停止、復旧作業などによる直接的な損失。
  • 機密情報の漏洩:重要なデータや顧客情報が流出することで、法的な罰則や顧客の信頼損失につながります。
  • ブランドの信用失墜:データ漏洩や攻撃被害が明るみに出ることで、企業ブランドのイメージが悪化するリスク。
  • 二次被害のリスク:初期アクセスからネットワーク内にさらに進行し、他のシステムやサービスにも悪影響が広がるリスク。

IABによるリスクへの対策

  1. 多層的なセキュリティ対策の導入
    ファイアウォール、IDS/IPS(侵入検知・防御システム)、WAF(Webアプリケーションファイアウォール)、EDR(Endpoint Detection and Response)などを組み合わせ、ネットワークの異常を早期に検知できる体制を整えます。
  2. フィッシング対策と従業員教育
    フィッシング対策を強化し、メールのフィルタリングを行うほか、従業員に対する定期的なセキュリティ教育を実施して、フィッシングメールや不審なリンクを回避する意識を高めます。
  3. 脆弱性管理とパッチの適用
    定期的な脆弱性スキャンとアップデートを行い、外部からアクセス可能なシステムの脆弱性を悪用されないようにします。特に、VPNやRDP、アプリケーションの脆弱性には最新のパッチを適用します。
  4. 多要素認証(MFA)の導入
    認証情報が盗まれても不正アクセスを防ぐため、MFAを導入し、外部からのアクセスに対して追加の認証手続きを設けることで、侵入を難しくします。
  5. アクセスログの監視と分析
    ネットワークやシステムのアクセスログを継続的に監視し、不正なアクセスや異常な活動を早期に検知します。異常な動作が発生した場合には速やかに封じ込め、さらなる侵入を防ぎます。

まとめ

イニシャルアクセスブローカー(Initial Access Broker、IAB)は、企業ネットワークへの不正アクセスを確立してその権利を販売するサイバー犯罪者であり、ランサムウェア攻撃グループやスパイ活動を行う犯罪者にアクセスを提供します。IABによる初期アクセスの売買は、サイバー攻撃の一端を担う重要な役割を果たしており、組織にとっても大きな脅威です。従業員教育や多層的なセキュリティ対策、脆弱性管理の徹底などのセキュリティ強化策を講じることで、IABによるリスクを低減し、組織のセキュリティを向上させることが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。