概要:運送業界を狙う新たな脅威
サイバー犯罪者集団が、運送および貨物会社を標的とした巧妙な攻撃を仕掛けています。彼らは、数百万ドル相当の貨物輸送を盗み出すことを目的としており、物流業界のデジタル化を悪用しています。具体的には、運送会社を侵害して正規の貨物入札に不正に参加し、その後、商品を盗んで転売するという手口です。この一連の作戦の中心には、リモート監視・管理(RMM)ツールの悪用があります。これは、現代の貨物窃盗犯がサプライチェーンネットワークに侵入するための主要な武器となっています。
貨物窃盗の現状と進化
全米保険犯罪局によると、貨物窃盗による年間損失は340億ドルに上ります。貨物窃盗は数十年前から存在しますが、デジタル時代においてその手口は大きく進化しました。今日のサイバー犯罪者は、企業が貨物を効率的に輸送するために利用するのと同じテクノロジー基盤を悪用し、デジタルツールを窃盗の手段に変えています。
この問題は北米にとどまらず、Munich REはブラジル、メキシコ、インド、米国、ドイツ、チリ、南アフリカを世界の貨物窃盗のホットスポットとして挙げています。食品・飲料製品が最も頻繁に標的となる商品の一つです。サプライチェーンのデジタル化は、組織犯罪グループが高度なサイバー能力を駆使して悪用する前例のない脆弱性を生み出しました。IMC Logisticsの議会証言によれば、これらのグループはサプライチェーン全体に組み込まれたテクノロジーのギャップを悪用し、遠隔で貨物を盗むことが可能になっています。サイバーを悪用した窃盗は、ソーシャルエンジニアリングの手法と運送業界の内部知識に大きく依存しており、最も一般的な貨物犯罪の一つとなっています。
攻撃の手口:RMMツールの悪用
Proofpointのサイバーセキュリティ研究者は、少なくとも2025年6月以降、運送業者や貨物ブローカーを具体的に標的とした一連の犯罪活動を追跡しています。攻撃の手法は一貫したパターンに従っています。
- 第一段階:ロードボードアカウントの侵害
攻撃者はまず、貨物輸送の募集と予約が行われるオンラインマーケットプレイスである「ブローカーロードボード」のアカウントを侵害します。 - 第二段階:不正な貨物掲載と接触
侵害した認証情報を使用して、犯罪者は不正な貨物リストを掲載し、偽の貨物に応答した運送業者と接触を開始します。 - 第三段階:RMMツール感染のための配信戦術
攻撃者は、被害者をRMMツールに感染させるために主に3つの配信戦術を使用します。
1. 悪意のあるURLの送信: 侵害されたロードボードアカウントを悪用し、掲載された貨物について問い合わせてきた運送業者に悪意のあるURLを送信します。貨物交渉における信頼と緊急性を悪用します。
2. 既存のメールスレッドの乗っ取り: 侵害されたアカウントを使用して既存のメールスレッドを乗っ取り、進行中のビジネス会話に悪意のあるコンテンツを挿入します。
3. 大規模な直接メールキャンペーン: 資産ベースの運送業者、貨物ブローカー、統合サプライチェーンプロバイダーなどの大規模な物流事業体に対して直接メールキャンペーンを開始します。
これらの悪意のあるメールには、通常、実行可能ファイルにつながるURLが含まれており、クリックするとRMMソフトウェアがインストールされ、攻撃者は被害者のシステムを完全に制御できるようになります。研究者たちは、これらのキャンペーンで展開された多数のRMMツールを特定しています。これには、ScreenConnect、SimpleHelp、PDQ Connect、Fleetdeck、N-able、LogMeIn Resolveなどが含まれます。多くの場合、複数のRMMツールが同時に展開されており、例えばPDQ Connectが侵害されたマシンにScreenConnectとSimpleHelpの両方をダウンロード・インストールする事例も確認されています。
初期アクセスが確立されると、攻撃者は被害者ネットワークの徹底的な偵察を行い、WebBrowserPassViewのような認証情報収集ツールを展開してログイン情報を盗み、アクセス範囲を拡大します。これにより、価値のある貨物を特定し、不正なアクセスを利用して実際の貨物入札に参加し、その後、盗んだ貨物をオンラインチャネルを通じて販売したり、海外に輸送したりします。
RMMベースの貨物窃盗の範囲と影響
Proofpointは、過去2ヶ月間で約20件のキャンペーンを記録しており、攻撃量は10件未満のメッセージから1,000件以上のメッセージに及んでいます。攻撃者は選択的ではなく、小規模な家族経営の運送会社から大規模な統合輸送会社まで、機会主義的に組織を標的にしています。不正な貨物掲載に応答した運送業者は、潜在的な被害者となります。
公開されている報告書も、これらの攻撃が広範囲に及んでいることを裏付けています。あるRedditの投稿では、犯罪者がRMMを介して会社を侵害し、既存の予約を削除し、ディスパッチャーの通知をブロックし、攻撃者が制御するデバイスを電話の内線に追加し、被害者の名前で貨物を予約し、実際の輸送を調整して貨物を盗んだ事例が説明されています。
RMMツールを使用することで、貨物窃盗犯は大きな戦術的優位性を得ます。RMMソフトウェアは正当なビジネス目的で使用されるため、被害者は明らかなマルウェアと比較して、これらのツールをインストールする際に疑念を抱きにくい傾向があります。さらに、RMMインストーラーは署名されており、正規のソフトウェアとして配布されることが多いため、従来の遠隔操作型トロイの木馬よりも効果的にアンチウイルス検出やネットワークセキュリティ制御を回避できます。このRMMベースの攻撃への移行は、サイバー犯罪の状況全体における広範なトレンドを反映しており、攻撃者はこれらのツールを初期段階のペイロードとしてますます採用しています。
防御策と今後の展望
全米保険犯罪局は、貨物窃盗による損失が2024年に27%増加し、2025年にはさらに22%増加すると予測しています。サイバー犯罪者が物理的な商品を盗むために陸上輸送事業体を標的とし続ける中、組織はこの特定の脅威に対応した堅牢なサイバーセキュリティ対策を講じる必要があります。
全米自動車貨物輸送協会は、陸上輸送業界の組織向けに特別に設計された「貨物犯罪削減フレームワーク」を公開しています。主要な防御策には以下が含まれます。
- 未承認のRMMツールのダウンロードとインストールを制限する。
- RMMサーバー通信を警告するEmerging Threatsルールセットを備えたネットワーク検出システムを導入する。
- エンドポイント保護ソリューションを展開する。
組織は、外部の送信者からのメールで配信される実行可能ファイルのダウンロードを禁止し、従業員に不審な活動を特定してセキュリティチームに報告するよう訓練する必要があります。2024年から2025年にかけてこの脅威活動が継続的に増加していることを踏まえ、セキュリティ専門家は、サイバーを悪用した貨物窃盗がその範囲と巧妙さの両方で増加し続けると評価しています。サプライチェーン全体の組織は、この収益性の高い犯罪行為から自社の事業と貨物を保護するために、これらの進化する戦術に対して警戒を怠らない必要があります。