【ブログ】ダークウェブ・サイバー犯罪に対する法執行機関の戦い(11/1)
サイバー脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyte CTI Research Group@Cognyte | 2024年11月
法執行機関は、ダークウェブで発生しているサイバー犯罪、特にランサムウェアや盗まれた認証情報(クレデンシャル)の販売を取り締まる対策を強化しています。最近の法執行機関の活動は大きな進展を見せていますが、同時にダークウェブのサイバー犯罪インフラとの戦いにつきまとう複雑さを浮き彫りにしました。
(Cognyte社のブログ"Inside Law Enforcement's Battle with Dark Web"を翻案したものです)
関連記事:5分程度で読める!ダークウェブとは何か
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
法執行機関による取り組み
2024年5月、ロシアのRaaS(Ransomware as a Service)グループのメンバーが、7億ドル以上の身代金を要求する数千件のランサムウェア攻撃を仕掛ける計画に関与したとして、13年以上の禁固刑を言い渡されました。
もう一つの注目すべき例は、「オペレーション・クロノス」(Operation Cronos)におけるランサムウェアグループLockBitのテイクダウンです。この作戦では、国際的な協力の結果、34台のサーバーと200の暗号通貨アカウントが押収されました。
法執行機関の取り組みは、盗まれた認証情報やランサムウェアツールの販売など、主要なサイバー犯罪活動を停滞させました。しかし同時に、常に進化するダークウェブのサイバー犯罪活動を取り締まるために法執行機関が直面している課題も浮き彫りにしています。
サイバー犯罪に対する法執行機関との戦いで直面している継続的な課題については、以下をご覧ください。
オペレーション・クロノス
2024年の「オペレーション・クロノス」において、当局は2月と5月に2つの主要な作戦を展開し、LockBitのインフラを破壊しました。さらに法執行機関は最近、活動継続中と思われるLockBit関連メンバーを新たに逮捕しています。
一連の作戦は、法執行機関がダークウェブ運営者との戦いで使用した2つの成功した戦略を浮き彫りにしています。
第1に、日本を含む10カ国の法執行機関が広範な国際協力を行ったことであり、第2に、そして最も重要なことは、LockBitの信頼性を棄損することに焦点を当てたことです。
RaaSの運営者にとって、ランサムウェアのデリバリーを担当するアフィリエイト(協力者)を引きつけるためには、評判と信頼が不可欠ですから、これは犯罪組織にとって大きな打撃です。
国際的なテイクダウン作戦の後も、LockBitのダークウェブ・リークサイトはしばらく活動を続けていましたが、誤った情報や古いデータの投稿に留まっており、グループが評判を回復するのに苦労していたことを示しています。さらに、一部のランサムウェア・アフィリエイトがその後、他のランサムウェア活動に移行する動きが観測されました
2024年6月、セキュリティ研究者は、ランサムウェア全体のリークサイト投稿が著しく減少したことを確認しました。これは主にLockBitの活動が大幅に減少したことによるものです。テイクダウンによってLockBitは最も活発なRaaSグループではなくなりました。
最近の報告によると、2023年後半から2024年前半の間にダークウェブのデータリークサイトに掲載された被害者が16%減少したことから、この作戦がかなりの影響を与えたことがわかります。
ランサムウェアグループの分散傾向
オペレーション・クロノスの影響によりランサムウェア・グループの細分化という状況が生じました。
最近のEuropolレポートによると、元LockBitのアフィリエイトが独自の活動を開始しています。かれらはランサムウェアツールを開発し、大規模グループへの依存度を減らしています。その結果、ランサムウェアのエコシステム(生態系)は多様化しました。
CognyteのLUMINAR脅威インテリジェンスデータによると、2024年2月以降、合計30の新しいランサムウェアグループが出現しており、前年同期比で131%の増加となっています。
昨年始動した新興ランサムウェアグループ。出典:Cognyte LUMINAR
新しいランサムウェアグループの増加は、ダークウェブにおけるサイバー犯罪領域の耐久力・生命力を強調しており、このような犯罪活動と戦うための法執行機関の取り組みに大きな課題をもたらしています。
オペレーション・クロノスは主要なランサムウェアプレーヤーであるLockBitを破壊することに成功しましたが、新しいグループの出現を止めることはできませんでした。実際、LockBitの消滅によって小規模なランサムウェア活動が増加し、ダークウェブ・マーケットがより細分化され、多様化しました。
この変化は、法執行機関の取り組みを複雑にしました。法執行機関は、限られた数の大規模組織ではなく、多数の小規模犯罪グループを調査して戦う必要があります。よって、新興グループの継続的な出現と進化を防ぐための新しい戦略を考えていく必要に迫られています。
サイバー犯罪グループの分散化・多極化は、法執行機関に留まらず、一般企業にもセキュリティ上の課題を突き付けます。企業は、多種多様なグループの戦術を知り、適切な対策に投資しなければなりません。
最新の脅威インテリジェンスの重要性
ダイナミックに進化するランサムウェアの傾向を考えると、法執行機関は、ランサムウェアやその他のサイバー犯罪グループ、特にダークウェブやTelegramのような匿名プラットフォームで活動しているグループに関する最新のインテリジェンスに継続的にアクセスすることが重要です。
犯罪グループが使用している最新の傾向と戦術について常に情報を得ることで、急速に進化するサイバー犯罪活動に遅れをとらず、サイバー犯罪者との戦いに勝利する可能性が得られます。
LUMINARなどの高度な脅威インテリジェンスソリューションは、ダークウェブの監視や生成AIリスクスコアリングなどを駆使した外部脅威インテリジェンスを提供し、サイバー犯罪の抑止と摘発の取り組みを効率化します。
ランサムウェアやその他サイバー犯罪との戦いは、まだ終わっていません。法執行機関はサイバー犯罪との闘いにおいて大きな進歩を遂げましたが、サイバー犯罪者の戦術が急速に進化しているため、継続的な課題に直面しています。
高度な脅威インテリジェンスを活用し、新たな脅威に迅速に対応することで、法執行機関はこの重要な戦いにおいて大きな進歩を続けることができます。
まとめ
LUMINAR脅威インテリジェンス解決策がダークウェブのサイバー犯罪との闘いにおいて強力な武器を提供する方法について説明します。詳細については、以下のバナーをクリックしてください。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)