次々と現れるサイバー攻撃の手口ですが、サイバー犯罪者はどのように攻撃手法を手に入れているのでしょうか。

実はサイバー攻撃の手口がサービスとして提供され、それらを利用して攻撃が行われているという深刻な問題があります。サイバー犯罪手法やツール、盗み出した情報などがビジネスとして提供されており、これらはアンダーグラウンドサービスと呼ばれます。

本記事では、アンダーグラウンドサービスについて概要や事例、対策について紹介します。セキュリティリスクへの備えとしてご確認ください。

アンダーグラウンドサービスとは

アンダーグラウンドサービスはIPAの発表する「情報セキュリティ10大脅威 2024」に挙げられた情報セキュリティ脅威の一つです。

情報セキュリティ10大脅威は2014年より毎年発表されていますが、アンダーグラウンドサービスは2017年にランキングに初登場しました。上位には上がってこないものの、継続的に脅威として観測されています。2022年まではランキング外となっていましたが、2023年、2024年と再度ランキングに登場し注目の集まる脅威となっています。

近年の情報セキュリティに関するトラブルで多く見られる手口や、情報を取り扱うダークウェブなどとも関連があると考えられます。

アンダーグラウンドサービスとは、シンプルにまとめれば「犯罪のビジネス化」であり、サイバー攻撃の手口やツールの提供、情報を扱うことがビジネスとして成り立っていることを意味します。

定義

アンダーグラウンドサービスという言葉に明確な定義はありません。地下を意味するアンダーグラウンドとクラウド「サービス」というWebでのサービス提供形態を合わせており、サイバー攻撃のための手段や手法を提供するサービスを指し示しています。アンダーグラウンド市場でサイバー攻撃に関するサービスの提供者と利用者が存在し、ビジネスが成り立っていることを象徴するものです。

一般的なソフトウェア提供の形態としてクラウドサービスは広く普及しています。IaaS、PaaS、SaaSなどのサービス階層での分類や提供分野を示すMaaS、技術分野を示すBaaS、IDaaSなど多くのサービスが生まれてきました。これらを総じてXaaSと呼びますが、アンダーグラウンドサービスの分野ではRaaS（Ransomware as a Service）、AaaS（Access as a Service）、PhaaS（Phishing as a Service）などが登場しています。

ビジネスモデル

サービス提供者がサイバー攻撃の手法やそのためのツールをサイバー犯罪者にアンダーグラウンド市場で提供し、収益を得るというビジネスモデルになっています。

アンダーグラウンドサービスを利用することにより、知識がない人でもサイバー犯罪を行うことが可能となります。専門的な知識を持たない犯罪者がサイバー犯罪に参入するための入り口として機能しているといえるでしょう。
また、サイバー犯罪に加担する人材をアンダーグラウンドな掲示板で報酬を示して募集したり、他者のアカウントを販売していた事例なども存在します。

アンダーグラウンド市場で取引されるサービス

アンダーグラウンド市場で取引されていたサービスの事例として、下記が挙げられます。

• RaaS（Ransomware as a Service）
  コンピュータやデータを暗号化して盾に取り、身代金を要求するランサムウェア攻撃をサービスとして提供します。
• AaaS（Access as a Service）
  他者のWebサイトやコンピュータへのリモートアクセスを提供するサービスです。アクセス先の情報や認証情報なども含まれます。アクセスされたサイトやコンピュータは情報の流出、改ざんなどの被害を受けます。
• PhaaS（Phishing as a Service）
  他者を騙り情報の略取を行うフィッシング攻撃では、メールを入り口として偽のWebサイトなどが利用されます。PhaaSではこれらのメールや偽のWebサイトの仕組みをサービスとして提供します。
• DDoS代行
  Dos攻撃とは、Webサイトやコンピュータに過剰なアクセスを行い負荷を掛ける攻撃です。DDoS攻撃はDoS攻撃を複数のアドレスから分散して行います。これらのアクセスを行う行為をサービスとして提供し、DDoS攻撃を代行するビジネス形態が存在しています。
• アカウント情報や個人情報の売買
  AaaSと同様、Webサイトやコンピュータへのアクセスのためのアカウント情報や個人情報の売買もアンダーグラウンド市場（ダークウェブ）で観測されています。

アンダーグラウンドサービスからの攻撃事例

アンダーグラウンドサービスを利用したとみられる攻撃事例について紹介します。

ChatGPTのアカウント流出とダークウェブでの取引

2023年6月、シンガポールのセキュリティ企業Group-IBが「生成AIサービスChatGPTのユーザーアカウント情報が10万件以上流出し、アンダーグラウンドサービス（記事内ではダークウェブの記載）で取引されている」と発表しました。情報はインフォスティーラーと呼ばれるマルウェアにより盗まれており、そのうち4万件以上はアジア太平洋地域から流出したとされています。

パチンコ店グループの保有する個人情報の流出とダークウェブへの流出

2022年9月、国内のパチンコホール事業者がランサムウェアによるサイバー攻撃を受け、一部個人情報の流出が認められたことを発表しています。この情報には顧客をはじめ、従業員、取引先などの個人情報が含まれており、最大で33万件を超える情報が流出した可能性があるとしています。

ランサムウェアや情報流出のための手口がアンダーグラウンドサービスによるものかどうかは特定が難しいものの、ダークウェブ上で情報が公開されていることが確認されています。

アンダーグラウンド市場でやり取りされた個人のアカウントの悪用

2022年1月のNHKの報道では、大量の個人情報がWeb上で売買されていることが報じられています。スマホ決済のアカウント情報が悪用された被害者の声もあり、身近な存在であることを意識させられる内容です。また、スパム用のWebページが販売されており、サイバー攻撃の手口やツールがアンダーグラウンドでの商材として扱われていることも伝えられています。

対策と防御戦略

アンダーグラウンドサービスを用いたサイバー攻撃といっても、手口は一様ではありません。ありとあらゆる攻撃方法が想定されるため、ベーシックなセキュリティ対策を充実させることがその対策となります。

インシデント対応体制の整備

企業や組織におけるセキュリティインシデントの発生を、すべて防ぐことは簡単ではありません。ゼロトラストも同様の考え方に基づいています。

重要なのは、セキュリティインシデントが発生した際に即時に対応することです。そのための備えとして、セキュリティインシデントへの対応を行う体制を作っておくことが方法の一つとなります。対応のための手順やルールまでを備えておくことで、対応者が変わっても被害の拡大を防ぐことができます。

基本的なセキュリティ対策の充実

企業や組織におけるセキュリティ対策には、ハードウェアを用いた外部からの侵入対策、ソフトウェアによる境界型のセキュリティ対策、ゼロトラストに基づいたソフトウェアや通信の監視、ITシステムやアプリケーションを扱う従業員に対する教育などが含まれます。どれか一つの対策を行えば良いわけではなく、総合的にセキュリティを確保することが重要です。

ダークウェブ上の情報の監視

もし、情報流出や漏洩が発生してしまった場合には、直ちにそれ以上情報が拡散することを防がなくてはなりません。しかし、情報の流出や漏洩にはどのようにして気付くことができるのでしょうか。

アンダーグラウンド市場などのダークウェブで自社に関連する情報がやり取りされていないかを監視しておくことが一つの方法です。ダークウェブを監視しておくことで、迅速に対応することができます。

最新の情報漏洩監視ツール「ダークウェブアイ」

SMSデータテックの提供する「ダークウェブアイ」は、アンダーグラウンド市場を含むダークウェブにある企業情報を監視するサービスです。自社や組織に関する情報の流出、やり取りを常時監視し、漏洩を発見次第即時に通知します。そのため、迅速な対策を打ち、漏洩によるリスクを最小化することができます。情報漏洩というセキュリティリスクへの対策となります。

まとめ

アンダーグラウンドサービスとは、サイバー攻撃の手口やツール、サイバー攻撃によって盗み出した情報をサービスとして提供することを意味しています。これらの違法行為によるビジネスがアンダーグラウンドな市場で成立しており、専門的な技術を持たない人がサイバー犯罪に参入する契機となり、サイバー攻撃のさらなる激化の原因の一つとなっています。

また、アンダーグラウンド市場では、個人のアカウント情報やシステムやコンピュータへのアクセスも売買が行われています。これは、企業や組織にとって大きな脅威といえます。

情報漏洩に対し迅速に対応するための方法の一つが、ダークウェブ（アンダーグラウンド市場）の監視です。「ダークウェブアイ」などのツールを用いることで、自社に関連する情報がダークウェブ上でやり取りされているかを監視することができます。サイバー攻撃や情報漏洩への対策をお考えのご担当者様はお気軽にご相談ください。