進化するサイバー犯罪エコシステム「The COM」
英語圏のサイバー犯罪エコシステム「The COM」は、かつてのニッチなアンダーグラウンド文化から、世界で最も破壊的なサイバー攻撃を組織する洗練されたプロフェッショナルなサービス指向経済へと進化しました。過去10年間で、この分散型ネットワークは、OGユーザー名取引フォーラムでの起源から、多国籍企業、政府機関、重要インフラ、そして世界の個人投資家を標的とする全方位的な犯罪サプライチェーンへと変貌を遂げています。
初期の活動と変遷
「The COM」の軌跡は、2010年代初頭から中頃にかけてのRaidForumsやOGUsersのようなフォーラムで始まりました。ここでは、英語圏のサイバー犯罪者が「OG」(オリジナルギャングスター)のソーシャルメディアハンドルを取引し、仲間内での評判を築いていました。これらの初期コミュニティは、後にエコシステムの決定的な特徴となるソーシャルエンジニアリングスキルと操作戦術を培いました。しかし、根本的な変革は、主要な法執行機関による取り締まり後に起こりました。これにより「移行効果」が引き起こされ、OGトレーダーのソーシャルエンジニアリングの専門知識と、侵害に特化したハッカーの技術的能力が融合しました。この融合により、評判を重視するサイバー犯罪者の新たな世代が生まれ、ますます高度な攻撃を実行できるようになったのです。
現在の活動と主要な脅威アクター
現在、「The COM」は多角的な犯罪経済として機能しており、大規模なデータ侵害、恐喝キャンペーン、SIMスワッピング攻撃、ランサムウェア運用、仮想通貨窃盗、ラグプル、金融詐欺などを可能にしています。このエコシステム内の主要な脅威アクターには、以下のグループが含まれます。
- Lapsus$
- ShinyHunters
- Scattered Spider (UNC3944)
- Silent Ransom Group
これらのグループは、専門的な役割と階層構造を持って活動し、複雑さを抽象化し、新規参加者の参入障壁を下げるアンダーグラウンドのサプライチェーンを通じてその能力を収益化しています。
最大の脆弱性:人間とソーシャルエンジニアリング
「The COM」の運用上の成功の核心には、根本的な脆弱性である「人間の境界」があります。ソーシャルエンジニアリングは、このエコシステム全体で主要な攻撃ベクトルとして浮上しています。OGUsersの「発信者」、Lapsus$によるITスタッフの操作、ホテルの一室から実行された悪名高いGTA VIハックなどがその例です。これらのグループは、従業員が企業セキュリティにおける最も弱いリンクであることを理解しています。この現実により、組織はITおよびヘルプデスクの担当者を重要なセキュリティ層として保護することを優先し、厳格な本人確認プロトコルを実装し、定期的なフィッシングおよびビッシングシミュレーションを実施する必要があります。
SMSベースの多要素認証の危険性
このエコシステムが悪用するもう一つの重要な脆弱性は、SMSベースの多要素認証(MFA)です。OGUsersフォーラムで開拓されたSIMスワッピングは、攻撃者が従来の2FA保護を回避し、仮想通貨ウォレットを空にしたり、企業アカウントを侵害したりすることを可能にします。この手法は壊滅的な効果を発揮しており、SMSベースのMFAが組織がFIDO2/WebAuthnのようなフィッシング耐性のある方法への移行を通じて対処しなければならない中核的な脆弱性であることを確立しました。
分散化と回復力
「The COM」をこれまでのサイバー犯罪モデルと区別するのは、その回復力と分散化です。RaidForumsやBreachForumsのような主要なフォーラムは法執行機関の作戦によって閉鎖されましたが、これらの取り締まりはエコシステムを解体するのではなく、単に断片化させたに過ぎません。脅威アクターは、Telegram、Discord、プライベートな招待制チャンネルのような暗号化されたメッセージングプラットフォームに移行しており、従来のフォーラム監視では脅威インテリジェンスの収集が不十分になっています。このエコシステムは、混乱を吸収し、そのインフラを適応させる能力を証明しています。
金銭以外の動機:破壊と悪名
「The COM」内の脅威アクターの動機は、純粋な金銭的利益を超えています。Lapsus$やShinyHuntersのようなグループは、金銭的目標と同様に破壊と悪名を追求しており、リアルタイムのデータ公開や被害者への公然たる嘲笑を特徴とする「リーク・アンド・ブラグ」スタイルの攻撃を実行しています。この行動の変化は、インシデント対応プログラムがデータ窃盗防止を超えて、評判の損害に対処し、SOC、広報、法務チーム間で対応を調整するよう進化する必要があることを示しています。
組織が取るべき対策
「The COM」が進化し続ける中、組織はサイバー犯罪が永続的で回復力のある脅威であることを認識し、ゼロトラスト原則、従業員のセキュリティ意識向上、そして新たなプラットフォーム全体での多様な脅威インテリジェンス収集に基づいた包括的なセキュリティ戦略を必要としています。