Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

グレーハットハッカーを繋ぎ止められるか

定期巡回しているSecurity Affairsに気になる記事を見つけました。

securityaffairs.co

「integra」という名前でオンラインになる脅威アクターは、他のフォーラムメンバー、脅威インテリジェンス会社Cybleの研究者からゼロデイエクスプロイトを購入する目的で、サイバー犯罪フォーラムの1つに26.99ビットコインを預けました

 

キタきつねの所感

26.99ビットコイン(約9,900万円)をデポジットする、つまり本気で購入する意思がある事を宣言していると言えますが、ゼロディエクスプロイトの”中身”によって最大300万ドル(約3.3億円)まで支払うと投稿しています。

※画像はSecurity Affairs記事より引用

 

脅威アクター(integra)が欲しがっているゼロディエクスプロイトは、以下の3つとされています。

1.セキュリティ製品のいずれかによって悪意のあるものとしてまだフラグが立てられていない最高のリモートアクセストロイの木馬(RAT)を購入します。
2. Windows 10で未使用の起動方法を購入します。たとえば、LotLマルウェアを使用したり、レジストリ回避技術に隠れたりします。TAは、元のソリューションに対して最大15万米ドルを提供する用意があります。
3.リモートコード実行とローカル特権エスカレーションのためのゼロデイエクスプロイトを購入します。TAは、この特定のエクスプロイトの予算は300万米ドルであると述べています。

Cyble記事より引用)

 

ゼロディエクスプロイトは、ベンダーやセキュリティ研究者が発見するまでに数か月~場合によっては数年かかる場合もあるものである事を考えると、組織はこうしたゼロディが近い将来、自組織にも使われてしまう可能性があると考えて攻撃に備える必要があります。

ゼロデイ・エクスプロイトとは | FireEye

 

とは言え、攻撃時にも”ゼロディ”だったとすると”防げない”事が前提となりますので、NISTのサイバーセキュリティフレームワーク(CSF)で言う、「特定」「防御」「検知」「対応」「復旧」で考えた場合、検知以降にもウェイトを置いて対策する事が重要となります。

 

この脅威アクターの投稿は、Cyble社が見つけて記事になっていますが、こうした脅威アクター(攻撃者=ブラックハットハッカー)がゼロディを購入するという動きは、氷山の一角であって、限定ハッカーフォーラムで盛んに取引が行われていると考えるべきなのだと思います。

 

ここで疑問に感じるのは、攻撃者(ゼロディ購入者)は、何故最大300万ドルも支払うのか、という事です。

 

それは、それ以上のリターン(利益)が見込めるから、なのだと思います。

 

 

また、攻撃者(ゼロディ購入者)は、最大300万ドルを出す用意があるという点も留意すべきポイントかも知れません。

当然の事ながら、こうした大金を出せるという事は、攻撃者は、ゼロディ等の攻撃によって大きな利益を上げる成功体験を持っているという事になります。

 

ブラックハットハッカーは、必ずしも自身がゼロディを見つける天才的なハッカーである必要は無く、一定以上の技術力に加えてビジネスセンス(換金性の高い資産を窃取する、または身代金を払ってくれそうな組織に入り込む)が重要になってきている様です。

そんな中で、こうした切り札となるゼロディを購入(囲い込み)する動きは、防御側がゼロトラストなどの体制が整う前に攻撃を成功させるという明確な意思を感じます。言い換えれば、彼らは有効なゼロディエクスプロイトを入手し直接的な「成功率を高める」と共に、「時間を買う」選択をしていると言えるかも知れません。

 

24/365 で攻撃を仕掛けられるという点で、従来から「攻撃側が有利」と言われてきていますが、資金力が豊富になりつつある「ブラックハットハッカー」が、ゼロディを持つ「グレーハットハッカー」を取り込もうとしていると考えると、ホワイト側は、もっと脆弱性報告に対して評価(賞賛)すべきですし、ブラック側に敵わないまでも、報奨金をもっと払っていく文化を醸成していくべきだと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

札束で殴る人のイラスト(棒人間)

 

更新履歴

  • 2021年7月10日 AM