Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

漏えいデータのオークション

考えてみた。

Krebs氏の記事を読んで、攻撃側の戦略進化を感じました。

f:id:foxcafelate:20200603060253p:plainhttps://krebsonsecurity.com/2020/06/revil-ransomware-gang-starts-auctioning-victim-data/

 

 

キタきつねの所感

Krebs氏の6/2記事ではランサムギャング(REvil)を取り上げていました。DarkWeb等の販売サイトに漏えいデータが出る事は定期的に発生していますが、オークション方式が採用された例は、あまり聞いた事がありません。

REvilランサムウェアエンタープライズの背後にある犯罪グループは、その悪意のあるソフトウェアによって攻撃された企業から盗まれた機密データをオークションにかけ始めました。この動きは犠牲者に支払いを強要し、そうでない人々を公然と恥ずかしくすることを目的とした戦術のエスカレーションを示しています。しかし、COVID-19パンデミックによる前例のない景気後退の最中に被害者のビジネスがライトを維持するために苦労しているため、ランサムウェアの提供者が犯罪から利益を得る新しい方法を模索していることも示唆しています。

(Krebs on Security記事より引用)※機械翻訳

 

こうした手法も、「新しい日常」になっていく可能性を感じます。

f:id:foxcafelate:20200603065948p:plain

Krebs on Security記事より引用

 

Krebs氏がサンプル掲載していたスクリーンショットを引用しますが、1人落札方式で、5万ドルスタート、入札単位100ドル、預託金5000ドル(冷やかし防止)での入札形態である事がわかります。

 

DarkWebでの漏えいデータ販売で、例えばハッカー(販売)側が、5,000ドルで50人に売ると場合、サンプルデータにおいて漏えいが発表された大手企業A、あるいはA社と契約を結んでいるセキュリティ企業がデータを購入し、どの程度の機密情報が漏えいしているのか調査した上で、次の対策を検討するといった手法が取られる事もあります。

しかしオークション方式で、例えば「1人にしか売らない」「●人までにしか売らない」とした場合、大手企業A(ホワイト側)が安価に”競り落とせる”可能性は低くなります

 

いわゆる、独占的な(exclusive)なデータ販売に近い場合、大手企業Aが仮に競り合ったライバル入札者は、大金を支払うのですから、そのデータを有効に活用(悪用)しよう考えている可能性が高いかと思います。

1人落札方式ならば、大手企業Aが競り勝てば良いのですが、3人落札方式だった場合、場合によって企業は「独占」する為に、3倍の資金を投入する事も視野に入れる必要が出てきます。

 

他の入札者(ライバル)はそのデータの有効活用を考えている別なハッカーが多いかと思いますが、場合によっては競合企業、あるいは「マスコミ」という事も考えられるのです。

 

また、ハッカー(販売)側には、企業にとって悩みの種となりかねない、もう1つのオプションを付けてくる事も考えられます。Krebs氏の記事の中では、ランサムグループの2重の脅迫が書かれていました。

他のランサムウェアグループが被害者の支払いを増やすためのさまざまな方法を採用し、1つの著名なギャングがターゲットを二重に強要していることを指摘しました。マルウェアによってスクランブルされたファイルのロックを解除できるデジタルキーと引き換えに、1つの支払い額を要求し、その代わりに別の支払いを要求しています。犠牲者から盗まれたデータを永久に削除するという約束のため。

(Krebs on Security記事より引用)※機械翻訳

 

データ削除オプションは、オークション方式でも取り入れる事が可能ではないでしょうか。

新型コロナウイルスの影響でビジネスが影響を受け、セキュリティ予算が削られる企業も多いかと思いますが、やるべきセキュリティ対策が疎かになると、データ漏えい(信用棄損)のリスクが大きくなる可能性がある、Krebs氏の記事はそうした事を示唆している気がします。

 

 

余談ですが、このブログのタイトルはKrebs氏の著名なセキュリティブログ(Krebs on Security)にあやかって付けています。

 

Krebs氏は元ワシントンポスト紙の記者で、2013年には米国流通大手Target社が4,000万枚のクレジットカード情報漏含むデータ侵害が発生しているとスクープした事でも有名ですが、Stuxnet、オンラインバンキング詐欺等、ブログ上で数々の「スクープ」記事をこれまでに発表していて、事件によってはハッカー側からも情報を取れる事もあり、セキュリティ分野では世界的に著名な専門家の1人と言えます。

 

もっとも、スクープを出すが故に攻撃者側の恨みを買ってしまう事もあり、(当時)世界最大規模のDDoS攻撃(665Gbps)を2016年に受け、サポートしていたAkamaiがかばい切れなかったという伝説ホルダーでもあります。

 

英語記事ではありますが、Krebs氏の記事での視点や、コメント欄での世界中の専門家たちの推測や助言は気づきが多く、特に大きな事件であれば記事のコメント欄も活発になっているので、気づき(勉強)になる事が多い印象です。そうした意味では、セキュリティに携わる方は定期巡回される事をお勧めします。

Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door

Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door

  • 作者:Krebs, Brian
  • 発売日: 2015/05/01
  • メディア: ペーパーバック
 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 ネットオークションで落札できなかった人のイラスト

 

更新履歴

  • 2020年6月3日 AM(予約投稿)