はじめに
オンラインのサイバー犯罪市場である「Russian Market」は、リモートデスクトッププロトコル(RDP)アクセスの販売から、情報窃取型マルウェアのログを扱う最も活発な地下ハブの一つへと進化しました。盗まれたユーザー認証情報は日々取引されており、侵害された各ログインは企業システムへの潜在的な侵入経路となります。脅威アクターは日常的に認証情報を購入し、企業、政府、個人をアカウント侵害やその後のサイバー攻撃のリスクに晒す認証情報ベースの攻撃を開始しています。
Russian Marketのような市場で購入された認証情報に起因するいくつかの注目すべき侵害は、単一の漏洩したパスワードが重大なデータ損失、金銭的損害、評判の毀損につながる可能性を示しています。
Russian Marketの変遷
2020年初頭に設立された当初、Russian Marketは侵害されたコンピューターへのRDPアクセスとログイン認証情報の販売に特化していました。脅威アクターは、ランサムウェアの展開、サイバースパイ活動、ターゲットネットワーク内での横展開のためにこのアクセスを悪用していました。2020年から2024年1月にRDP販売が中止されるまで、この市場は数千のサーバーとワークステーションへのアクセスを商品化していました。
2021年には、運営者は盗まれたクレジットカードデータに焦点を移し、同年後半には「Bots」製品ラインを立ち上げました。これらの「ボット」は、通常、情報窃取型マルウェアを介して侵害されたマシンから流出したデータログであり、収集されたクッキー、認証情報、自動入力データ、セッショントークンなどが含まれます。
2025年上半期までに、18万件以上の情報窃取ログが販売されました。Nu####ez、bl####ow、Mo####yfの3つの主要ベンダーが市場を支配し、全ボット出品の約70%を占めました。販売者は、Raccoon、Vidar、Lumma、RedLine、Stealcなどのマルウェア亜種を活用するマルチ窃取戦略を採用しています。最近では、Lumma Stealerのインフラが法執行機関によって妨害された後、RhadamanthysとAcreedが勢いを増しています。
ボット販売の内訳
「Logs」セクションでは、購入者は地域、オペレーティングシステム、情報窃取型マルウェア、ベンダーで出品をフィルタリングできます。典型的なボットには複数のドメインの認証情報が含まれており、そのサイズ(0.05〜0.3メガバイト)は収集されたログイン数と相関しています。
ボットは主に米国(26%)、アルゼンチン(23%)、ブラジルのユーザーをターゲットにしています。2025年上半期には、平均ボットサイズは0.14メガバイト、平均価格は10ドルで、過去の価格帯は地理的位置、セッション品質、認証情報の有効性に基づいて1ドルから100ドルでした。
購入者が企業認証情報を特定するために使用するSQL形式のクエリの例:
SELECT * FROM bots WHERE domain LIKE '%examplecorp.com' AND infostealer = 'Lumma' AND country = 'US';
侵害された各ログインは、ウェブメールポータル、クラウドサービス、またはVPN接続へのアクセスを表す可能性があります。これらの盗まれた認証情報は、脅威アクターが境界防御を迂回し、正当なユーザー活動を装ってメールベースのフィッシングや直接的なランサムウェア展開を開始することを可能にします。
主要ベンダーのプロファイル
Russian Marketの情報窃取エコシステムは、少数の多作なベンダーによって支えられています。
- Nu####ez:2024年1月から活動しており、「Diamond」ステータスを持ち、評価は4.41です。2025年にはLumma、Rhadamanthys、Acreedを使用しています。
- bl####ow:Lummaのみに依存し、2024年10月時点で評価4.78を維持しています。
- Mo####yf:当初はクレジットカード販売者でしたが、ボットに移行し、評価4.50を達成しました。2024年にStealcとVidarを使用した後、Lummaを活用しています。
sm####ezやco####erなどの新規参入者も、同様のマルチ窃取戦略で急速に存在感を増しています。
| Vendor | Market Share | Primary Malware Variants |
|---|---|---|
| Nu####ez | 38% | Lumma, Rhadamanthys, Acreed |
| bl####ow | 24% | Lumma |
| Mo####yf | 19% | Lumma |
| sm####ez | 7% | Lumma, Vidar, Stealc |
| co####er | 4% | Lumma, Stealc |
組織への提言と結論
情報窃取型マルウェアは、認証情報ベースの侵入の原材料を提供することで、活発な地下経済を支えています。BreachForumsやXSSのようなフォーラムが妨害されたにもかかわらず、Russian Marketは継続的に運営されており、その回復力と適応性を示しています。
組織は防御を強化する必要があります。具体的には、多要素認証(MFA)の実施、継続的な認証情報監視、そして異常なログイン活動を検出するための脅威インテリジェンスフィードの統合が求められます。主要ベンダーと情報窃取型マルウェアの亜種をプロファイリングすることは、Russian Marketの運営を内部から垣間見る貴重な機会を提供し、従業員の認証情報の漏洩を防ぎ、壊滅的な二次攻撃のリスクを軽減するために、企業が今すぐ行動を起こすことの緊急性を強調しています。