ダークウェブ上で暗号資産窃取ドレイナーが注目され、関連スレッドが2年間で約135%増加に
[本リリースは、2024年12月6日にKasperskyが発表したプレスリリースに基づき作成したものです]
KasperskyのKaspersky Security Services※部門は、年次のサイバー脅威動向レポート集「Kaspersky Security Bulletin」において、2024年のダークウェブ上の脅威の動向と2025年の予測を発表しました。2024年の主な動向は以下の通りです。
・暗号資産(仮想通貨)ドレイナー(ウォレットの暗号資産を素早く流出させるマルウェア)に関して議論するダークウェブ上のスレッドが、2022年比で135%増加したことが判明しました。
・有名なダークウェブフォーラムにおいて、企業データベースに関する売買情報の掲載が2023年比(8月~11月)で40%増加しており、サイバー犯罪者のデータ侵害への注目が高まっています。
・そのほか、サイバー犯罪者が利用するツールがインスタントメッセージアプリのTelegramからダークウェブフォーラムに戻りつつあること、サービスとしてのマルウェア(Malware-as-a-Service:MaaS)によって窃取ツールやドレイナーが急増していることが明らかになりました。
■ 暗号資産ドレイナーへの関心が急激に高まる
2024年、Kaspersky Security Services部門のKaspersky
Digital Footprint Intelligenceチームのエキスパートは、ダークウェブ市場における暗号資産ドレイナーへの注目が大幅に高まっていることを確認しました。ドレイナーとは、約3年前に登場したマルウェアの一種であり、標的をだまして不正な取引を承認させ、ウォレットから資産を素早く盗み取るというものです。主な手口として、偽のエアドロップ(暗号資産やNFTの無料配布キャンペーン)、フィッシングサイト、悪意のあるブラウザー拡張機能、虚偽広告、悪意のあるスマートコントラクト、偽のNFTマーケットプレイスなどがあります。
ドレイナーを話題にしたダークウェブ上のスレッド数は、2022年の55件から2024年には129件に上り、135%増加しました。これらのスレッドでは、サイバー犯罪者たちが、この種の悪意のあるソフトウェアの売買から、配布のためのチームの人員集めなど、さまざまなトピックを議論しています。
図1:ダークウェブ上でのドレイナーに関するスレッドのユニーク数(出典:Kaspersky Digital Footprint Intelligence)
「この傾向を踏まえると、2025年は暗号資産ドレイナーへの犯罪者の関心がさらに高まると予測できます。暗号資産の愛好家は、これまで以上に警戒を強め、堅固なセキュリティ対策を講じる必要があります。一方、企業はオンライン上の自社のプレゼンスを積極的に監視し、顧客や従業員へのサイバーセキュリティ教育を強化することにで、攻撃のリスクを軽減することが求められます。犯罪者はソーシャルエンジニアリングの手法を駆使して資産を窃取します。知名度の高いウォレットや取引所のブランドを悪用し、標的を誘導してウォレット情報を引き出したり、不正な取引を行わせたりします。検索エンジンやSNS、マーケットプレイスで自社のブランドが言及されていないか定期的に確認し、フィッシングサイトや不正サイトを発見次第、迅速に削除することが詐欺被害の防止の鍵となります。専用ツールを利用すれば、このような監視プロセスを大幅に強化できます」と、Kaspersky Digital Footprint Intelligenceチームのセキュリティエキスパートであるアレクサンダー・ザブロフスキー(Alexander Zabrovsky)は述べています。
■ データ侵害の疑いがある企業データベース売買情報の増加
2025年に勢いを増すと予測するそのほかの脅威には、データ侵害とデータ漏えいがあります。当社エキスパートは、人気の高いダークウェブフォーラムの一つで、データ侵害されたと思われる企業データベースの売買情報が増加していることを確認しています。具体的には、2024年8月から11月までのデータベースの売買に関する投稿数が、対前年同期比で40%増加しています。この増加の一部は、過去の漏えいの再投稿に起因する可能性もありますが、データの新旧を問わず、サイバー犯罪者たちが漏えいしたデータの配布に関心があることは明らかです。
図2:ある人気の高いフォーラムにおける企業データベースの売買に関する投稿数(2023年8月~2024年11月の推移、出典:Kaspersky Digital Footprint Intelligence)
「ダークウェブで公開されるデータ侵害の売買情報が、必ずしも実際のインシデントに起因しているとは限りません。一部の『オファー』は、巧みな宣伝に過ぎないことがあります。例えば、公開情報や過去に流出したデータを組み合わせ、新たなニュースのように見せかけている可能性もあります。サイバー犯罪者は、データ侵害を主張するだけで標的企業に注目を集め、その評判を傷つけることができます。このような状況を踏まえ、ダークマーケット上での企業名や資産に関する言及をモニタリングする重要性がさらに高まっており、プロアクティブな防御と迅速な対応が被害を最小限に抑えるために不可欠です」とアレクサンダー・ザブロフスキーは強調します。
サプライチェーン攻撃や類似の攻撃が増加傾向にあることを踏まえ、2025年は全体的にデータ侵害が増加し、特に、大手企業の請負業者を狙った攻撃に起因するものが増えることが予測されます。
■ 2025年のダークウェブ市場におけるそのほかの予測
・Telegramからダークウェブフォーラムへの移行:2024年はTelegram上でサイバー犯罪活動が急増しましたが、影のコミュニティ活動の場は再びダークウェブフォーラムに戻ると思われます。Telegramチャンネルが次々と閉鎖されているという各チャンネル管理者からの報告が、この動きの背景にあります。
・サイバー犯罪グループに対する法執行機関の取り締まり強化:2024年は、世界的な注目度の高いサイバー犯罪との戦いにおいて重要な年となりました。2025年はサイバー犯罪グループの逮捕やインフラの摘発、フォーラムの閉鎖が増えると予測しています。2024年の取り締まりの成功を受けて、犯罪者は招待制フォーラムへの移行など戦術を変えるとみています。
・ランサムウェアグループの細分化:ランサムウェアグループは、より小規模で独立した単位に細分化する可能性があり、追跡が困難になると考えられます。この分散化により、サイバー犯罪者は法執行機関やサイバーセキュリティ企業の監視の目を逃れながら、より柔軟に活動することができます。
・MaaSモデルを通じた窃取ツールとドレイナーの拡散:この種のマルウェアを使用して窃取されたデータや認証情報が、ダークウェブフォーラムにおいて売買されるケースが増加すると予測できます。
■ ダークウェブ市場のトレンドに関するレポート全文は、「Dark web threats and dark market predictions for
2025」(英語)でご覧いただけます。
■ 「Kaspersky Security Bulletin」シリーズは、サイバーセキュリティに関する主要な変化を毎年予測および分析し、まとめたものです。そのほかの予測は「Kaspersky Security Bulletin」(英語)でご覧いただけます。
■ 2024年12月3日に発表済みのプレスリリース「Kaspersky Security Bulletin(その1):2025年の高度な脅威に関する動向予測」、2024年12月19日に発表済みのプレスリリース「Kaspersky Security Bulletin(その2):数字で振り返る2024年のサイバー脅威」も併せてご覧ください。
※ Kaspersky Security Servicesについて
世界各地のFortune500企業を対象に、インシデントレスポンス、マネージドディテクション、SOCコンサルティング、レッドチーム演習、侵入テスト、アプリケーションセキュリティ、デジタルリスク対策など、年間数百件の情報セキュリティプロジェクトを手掛ける部門です。その中の一つ、Kaspersky Digital Footprint Intelligenceチームは、サイバー犯罪者のマーケットプレイスやフォーラム上での疑わしい活動を特定し、速やかにユーザー組織に通知します。
