メインコンテンツにスキップする

大企業ネットワークに不正アクセスするためのリモートデスクトップのデータは2,000~4,000ドル ~ダークウェブのフォーラム投稿を分析

2022年6月24日

当社のリサーチャーが、二つのダークウェブフォーラムで企業ネットワークに不正なアクセスを行うための情報を販売する約200件の投稿を分析した結果、75%がRDP(リモートデスクトップ)アクセスに関するものでした。

[本リリースは、2022年6月15日にKasperskyが発表したプレスリリースに基づき作成したものです]

「サービスとしてのサイバー犯罪」というビジネスモデルが増え、サイバー犯罪者が攻撃を仕掛けるために必要な情報の需要が高まっています。Kasperskyのリサーチャーはこのたび、二つのダークウェブ上のフォーラムで企業ネットワークに不正なアクセスを行うための情報を販売する約200件の投稿を分析しました。その結果、最も多かった投稿(75%)は、RDP(リモートデスクトップ)アクセスの販売でした。また、大企業のネットワークへ不正アクセスするためのRDPのデータの取引価格は2,000~4,000ドルであることが判明しました。この金額は、対象となった企業が攻撃を受けた場合の被害額を想定するとそれほど高額ではありませんが、このような不正アクセスの情報を提供するサービスは、ランサムウェアを用いる攻撃者の最大の関心事にもなっています。

今回の調査の結果、ダークウェブ上では、犯罪者がサイバー攻撃によって得たデータだけでなく、攻撃を仕掛けるために必要なデータやサービスに対する高い需要があることが判明しました。攻撃者が企業のインフラへのアクセスを不正に入手し、ランサムウェアを用いた攻撃活動を行うようなほかのサイバー犯罪者にその情報を販売する可能性があります。そのようなケースでは、攻撃対象になった企業に多大な金銭的損失と風評被害をもたらし、業務の中断を余儀なくされることもあります。中小企業と大企業のいずれもがこうした攻撃の標的となり得ます。

当社のリサーチャーは、どのような企業データが主に取引されているのか、また、そのデータの価格について、サイバー犯罪者が使用している値付けの基準を明らかにするために、二つのダークウェブ上の約200件の投稿を分析しました。企業への不正アクセス情報の販売について最も多かった投稿(75%)は、リモートデスクトップ(RDP)へのアクセスでした。RDPは、リモートでホストされているデスクトップへのアクセスを提供し、企業の従業員がそのリソースへのアクセス、操作することを可能にします。

KL-Data-in-Darknet-1 図1:アクセスタイプ別のオファー(投稿)

企業ネットワークに不正アクセスするためのデータの価格は、数百ドルから数十万ドルとかなりばらつきがありました。高価格のオファー(投稿)の主な要因は、攻撃対象の企業の潜在的な収益であり、収益が多いほど価格も高く設定されていることがわかりました。また、企業の業種や事業を行っている地域によっても変わります。

KL-Data-in-Darknet-2 図2:企業ネットワークに不正アクセスするためのデータの価格とその企業の収益との関係

また、大企業のネットワークに不正アクセスするためのRDPのデータは、2,000~4,000ドルで販売されていました。これは比較的購入しやすい値段設定ではあるものの、上限が存在せず、収益が4億6,500万ドルの企業のデータは5万ドルで販売されていました。

KL-Data-in-Darknet-3図3:リモートアクセスのデータ販売例。一つのネットワークで5社にアクセス可能なデータを5万ドルで販売

企業ネットワークへの不正アクセスの価格を決める最も重要な要素は、そのアクセスを利用して攻撃を行った場合に、購入者が得ることができる金額です。ランサムウェアを使用する攻撃者が、ある企業ネットワークに侵入するための初期アクセスのデータに、数千ドル、時には数万ドルを支払う理由は、その攻撃対象の企業から何百万ドルもの身代金を得られる可能性があるためです。

ランサムウェアを使用する犯罪者は、企業データを暗号化するだけでなく窃取し、データの一部を自分たちのブログに投稿するケースもあります。主な狙いは、データを実際に窃取したことを証明することですが、指定の期限までに要求額を支払わなければさらにデータを公開すると脅迫することもあります。

Kasperskyのセキュリティエキスパート、セルゲイ・シェルベリ(Sergey Shcherbel)は次のように述べています。「サイバー犯罪者のコミュニティーは、技術面だけでなく組織の観点からも確実に進化しています。今やランサムウェアグループは、サービスや製品を販売しており、本格的な産業の様相を呈しています。私たちは、アンダーグラウンドのサイバー犯罪者たちの動向や戦術を把握するためにダークネットフォーラムを絶えず監視していますが、攻撃を仕掛けるために必要なデータの市場が拡大していることを目の当たりにしています。脅威インテリジェンスを強化しようとする企業にとって、ダークウェブ全体のソースの可視化は不可欠です。計画されている攻撃や脆弱(ぜいじゃく)性に関する議論、データ侵害が成功したケースについて、タイムリーな情報を得ることは、攻撃対象領域を減らし、適切な対策を講じることに役立ちます」

■ 当ダークマーケットの調査に関する詳細は、Securelistブログ(英語)「How much does access to corporate infrastructure cost?」でご覧いただけます。

※ 分析対象の投稿は2020年10月から2021年12月までのものです。



大企業ネットワークに不正アクセスするためのリモートデスクトップのデータは2,000~4,000ドル ~ダークウェブのフォーラム投稿を分析

当社のリサーチャーが、二つのダークウェブフォーラムで企業ネットワークに不正なアクセスを行うための情報を販売する約200件の投稿を分析した結果、75%がRDP(リモートデスクトップ)アクセスに関するものでした。
Kaspersky logo

Kaspersky について

Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくはwww.kaspersky.co.jpをご覧ください。

関連記事 ウイルスニュース