はじめに
昨今、サイバー犯罪のエコシステムは、まるでサブスクリプション型のテクノロジー業界のように機能しています。「サービスとしての」正当なクラウドサービスモデルと同様に、「サービスとしての犯罪」(CaaS)ソリューションは、経験の浅い攻撃者でも、攻撃実行に必要なリソースやアクセスをレンタルすることを可能にしています。サイバー犯罪ネットワークは、スケーラブルなオンデマンドサービスと従量課金モデルを宣伝しています。ランサムウェア集団は以前からアフィリエイトプログラム(RaaS)を利用していましたが、現在ではオンライン犯罪のほぼあらゆる側面が有料で提供されています。本稿では、サイバー犯罪がサブスクリプションベースのビジネスモデルへと移行した5つの方法と、従来の慣行との顕著な違いについて考察します。
1. 進化し続けるフィッシング・アズ・ア・サービス (PhaaS)
フィッシング・アズ・ア・サービス(PhaaS)は、Eメール詐欺をDIYオペレーションから洗練されたサブスクリプションサービスへと変貌させました。以前は、サイバー犯罪者が自分でフィッシングページ、メーラースクリプト、メーリングリストを用意するか、一度限りのフィッシングキットを購入する必要がありました。現在では、説得力のあるページの作成から大量のEメール送信まで、すべてを処理するターンキー型のフィッシングプラットフォームが、月額料金で提供されています。一部のアンダーグラウンド開発者は、フィッシングを強化するためにAIを統合しています。例えば、SpamGPTはAIを搭載したスパム・アズ・ア・サービスツールで、フィッシングメールの作成、Eメールアカウントの解読、配信率の最大化を自動化し、実質的にマーケティンググレードのキャンペーンツールを犯罪者に提供しています。これは、経験の浅いフィッシャーでも最小限の労力でプロフェッショナルに見えるキャンペーンを開始できることを意味します。
もう1つの革新は、MatrixPDFのような悪意のあるドキュメントビルダーの台頭です。これは、通常のPDFを悪意のあるおとり(偽のログインオーバーレイやリダイレクトの追加など)に変え、Eメールフィルターをすり抜けます。犯罪者グループはこれらのサービスやキットをサブスクリプションで販売しており、ユーザーガイドやカスタマーサポートまで完備しています。これは、PastebinからフィッシングHTMLをコピーしていた時代とは大きく異なります。PhaaSの加入者は、キットの定期的な更新、検出回避のための調整、技術サポートをサブスクリプションを通じて受けることができます。その結果、Web開発のスキルが全くない攻撃者でも、サブスクリプション料金を支払うだけで、常に更新されたフィッシングスキームを展開できるようになり、フィッシングがいかに進化し、適応し、改善されるサービスになったかを示しています。
2. Telegramボットによるソーシャルエンジニアリングのサービス化
Telegramのような暗号化メッセージングプラットフォームは、サイバー犯罪サービスの温床となり、TelegramのAPIをサブスクリプションベースの犯罪ツールの中核として効果的に活用しています。その一例が、ワンタイムパスワード(OTP)ボットの普及です。これらのボットは自動音声通話詐欺を実行します。ターゲットの被害者に実際に電話をかけ、銀行の発信者IDを偽装し、音声スクリプトを使って2要素認証のセキュリティコードを漏洩させます。通話の偽装、音声プロンプト、コードの取得というプロセス全体がボットによって処理されます。意欲的な詐欺師は、必要に応じてこの機能をレンタルできます。
価格設定はSaaSモデルを模倣しており、あるOTPボットは無制限通話で週約70ドル、プレミアムプランでは月約150ドルを請求します。このようなソーシャルエンジニアリングツールへの簡単な従量課金制のアクセスは、数年前には存在しませんでした。当時は、詐欺師はVOIPサービスを使って手動で通話を偽装するか、被害者を一人ずつソーシャルエンジニアリングする必要がありました。OTPボット以外にも、Telegramチャンネルでは、大量SMSスパム、SIMスワップサービス、偽通知ボットなどのサービスを、多くの場合レンタル/サブスクリプションベースで提供しています。TelegramのAPIを使用することで、匿名性と即時展開が可能になります。
3. インフォスティーラーログのクラウドデータフィード化
サイバー犯罪市場は、盗まれたデータをまるでクラウドプラットフォームのように変貌させました。以前は、盗まれた認証情報は、単発のフォーラム投稿や大量のデータベースダンプで販売されていました。しかし現在では、専門プラットフォームが数百万件のインフォスティーラーマルウェアログを集約し、Webインターフェースを通じてそれらを提供しています。例えば、ある市場では、サイバー犯罪者が盗まれたログインデータを、地域、オペレーティングシステム、マルウェアファミリー、さらには特定のドメイン名で検索・フィルターでき、まるでクラウドデータベースを照会するかのようです。
Exodus Marketは、個別のRDPハックを販売することから、より収益性の高いサブスクリプションのような提供物として、インフォスティーラーログを大規模に取引するように進化しました。これらのプラットフォームへのアクセスは、多くの場合制限されており、購入者はメンバーシップ料金やデポジットを支払い、実質的に新鮮な盗難データのフィードを購読します。
4. アクセスブローカーによるネットワーク侵害のコモディティ化
少し前まで、企業のネットワークを侵害しようとするサイバー犯罪者は、自分で足を使って脆弱性を見つけたり、インサイダーをフィッシングしたり、苦労して侵入したりする必要がありました。しかし現在では、初期アクセスブローカー(IABs)が、ネットワークアクセスをバルクで売買される商品に変えました。これらのブローカーは、組織への足がかり(盗まれたVPN認証情報、侵害されたRDPサーバー、Webシェルバックドアなど)を得ることを専門とし、すぐに使えるアクセスの在庫を維持しています。そして、これらのアクセスをランサムウェア集団などの他の犯罪者に販売またはリースし、多くの場合、半公式の市場を通じて行われます。このビジネスは、一部のアクセスブローカーが継続的な顧客向けに階層型価格設定やサブスクリプションバンドルを提供するほど成熟しています。脅威アクターは、新鮮なネットワークアクセスポイントの安定したフィードに対して料金を支払うことができ、本質的にハッキングされたマシンのパイプラインを購読する形になります。
トップブローカーは、プロのサービスのように運営されており、各アクセスを検証・分類し(特権レベル、ドメイン管理者か通常ユーザーかなど)、購入者にスクリーンショットや証拠を提供し、アクセスが遮断された場合のカスタマーサポートや代替品さえ提供しています。被害者ごとに自分で侵害していた古い方法と比較して、IABsは攻撃者が単にハッキングの機会を購読することを可能にします。初期アクセスの商品化は、侵入者が侵入するのではなく、ログインすることを可能にし、ネットワーク侵害を他のサイバー犯罪者向けのスケーラブルなオンデマンドサービスに変えています。
5. 低額なサブスクリプションで利用可能な高度なツール
サイバー犯罪のサブスクリプションへの移行を最も明確に示しているのは、高度なハッキングツールが低価格でレンタル可能になっていることです。かつては多大な投資やコーディングの専門知識が必要だった高品位のマルウェアが、今では安価な月額プランで利用できます。新しいAtroposia遠隔アクセス型トロイの木馬(RAT)を例にとってみましょう。隠れたデスクトップ制御、資格情報窃盗、ファイルレス攻撃などの機能を備えたこのRATは、真のSaaS形式で販売されています。Atroposiaの開発者は、マルウェアとそのWebコントロールパネルへのアクセスに対し、月額約200米ドルを請求しています。長期契約(3ヶ月で500米ドル、6ヶ月で900米ドル)では割引が提供され、正規のソフトウェアサブスクリプションを反映しています。この価格で、低スキルの攻撃者は、以前であれば開発や購入に遥かに高額を要したであろうプラグアンドプレイツールを入手できます。
マルウェア作成者も現在、マルウェアビルダーやエクスプロイトキット(悪意のあるOfficeドキュメントやカスタムローダーなど)をサブスクリプションモデルで提供し、顧客が常に最新バージョンを利用できるようにしています。その結果、複雑な攻撃への参入障壁が劇的に低下しました。特注のマルウェアに多額の投資をしたり、新しいRATをコーディング・テストするのに何ヶ月も費やす代わりに、攻撃者はMatrixPDF(PDFベースのエクスプロイト用)やAtroposia RATのような最先端ツールを低額な月額予算でレンタルできるのです。以前は、資金力のある犯罪者や高度なスキルを持つ犯罪者だけがそのような高度な技術を展開できましたが、現在では、サイバー犯罪の簡素化が文字通りのセールスポイントとなっています。
新たなサイバー犯罪サブスクリプション経済の登場
残念ながら、サイバー犯罪は完全に発展したサービス経済へと成熟しました。このサブスクリプションモデルは、フィッシングキット、インフォスティーラーログ、アクセス販売など、かつては断片化されていた状況を、アクセス可能でオンデマンドなツールのパイプラインへと変貌させました。攻撃者は、もはやコーディングしたり、インフラをホストしたり、使用するマルウェアを理解したりする必要がありません。彼らは単に月額料金を支払い、影のSaaSエコシステムの顧客のように活動しています。
先行するためには、サイバーセキュリティの専門家や防御側も同じように考え、システムを第一に考える必要があります。これは、検出プレイブックの自動化、認証情報の定期的なローテーション、そして最小特権の強制を、時折ではなく、継続的に行うことを意味します。防御をスケーラブル、反復可能、適応可能にすればするほど、攻撃者が成功することは困難になります。