1. HOME
  2. Blog
  3. Blog
  4. 海外ブログ
  5. サイバー犯罪のギグエコノミー

Info.

お知らせ

海外ブログ

サイバー犯罪のギグエコノミー

サイバー犯罪のギグエコノミー のページ写真 1

2025年8月8日、Christine Barry

「ギグエコノミー」という言葉を耳にしたことがあるでしょう。これは短期的な仕事(=ギグ)を特徴とする労働市場を指します。これらのギグはプロジェクトベースで、デジタルプラットフォームや非公式なネットワークを通じて手配されます。労働者は必要に応じて仕事を請け負い、デザイナーがFiverrrやFreelancerを通じて仕事を受けるのとよく似ています。ギグエコノミーは機動力、専門性、オンデマンド型協働を基盤としており、ランサムウェアやその他の犯罪活動を展開する脅威アクターにとって非常に効果的に機能しています。

背景

脅威アクターの多くに共通するのは、特定のブランドに固執しない点だ。LockBitのような例外国家が関与する諜報活動は存在するが、大半のサイバー犯罪者はブランドアイデンティティを持たず、特定のグループへの忠誠心もない。

ランサムウェア・アズ・ア・サービス(RaaS)が登場した時点で、この流れは明らかでした。協力者(加入者)はRaaSのルールに従い、自由に参加・離脱できます。一部のRaaSグループは、初期アクセス用のフィッシングプラットフォーム提供から身代金の交渉・回収まで全てを請け負います。協力者(加入者)は攻撃を成功させるだけです。メディアで攻撃者が名指しされる場合、常にAkira、Medusa、Fog、Rhysidaといったブランド名が使われる。協力者がブランドである場合、その名前が表に出ることもあります。

RaaSモデル以前に、Anglerのようなエクスプロイトキットや、脅威アクターがツールやインフラをレンタルできるSpam-as-a-Serviceプラットフォームが存在したこともある。これらのモデルは、今日見られる大規模なサイバー犯罪サプライチェーンの最初の構成要素でした。RaaSは、アイデンティティ、オペレーション、ブランディングを完全に分離した最初のモデルであり、分散型サイバー犯罪オペレーションの進化を加速させました。

欧州サイバーセキュリティ機関(ENISA)は、2022年ENISA脅威状況報告書において、このモジュール型サービス基盤構造の成長を検証しました。同報告書は「脅威グループの多様化・専門化・特化の進展」と、侵入の各段階に関与する異なるアフィリエイトの「組み合わせ自由」な性質を強調しています。報告書には、犯罪経済がギグエコノミーの原則をいかに採用しているかを示す、多くのインサイトが記載されています。

モジュール化された人材とプロジェクトベースの犯罪

ランサムウェア攻撃チェーンで見られる専門的役割について、例を挙げます。

  • 初期アクセス:初期アクセスブローカー(IAB)、フィッシング・ソーシャルエンジニアリング専門家、コール担当者/交渉担当者、エクスプロイト開発者
  • 発見・横展開(ラテラルムーブメント)・列挙:偵察専門家/侵入オペレーター、マルウェアローダー/ペイロード展開専門家、スクリプト開発者
  • 持続性確保・特権昇格:侵入専門家/ポストエクスプロイトオペレーター
  • 防御回避:セキュリティ回避専門家、難読化エンジニア
  • データ窃取:データ窃取者、窃取専門家
  • ランサムウェアの展開:ランサムウェア開発者、インフラオペレーター
  • 恐喝・交渉:身代金要求文作成者、交渉担当者/通信専門家、広報/情報漏洩サイト管理者

SafePayHelloGookieはコール担当者と交渉担当者を利用し、Qilinは弁護士を待機させ、Anubisはデータ窃盗犯と盗んだデータの金銭化専門家を結びつけます。DragonForceは特に他のグループにプロジェクト共同作業を提供します。これらの役割が全て別々の個人によって行われるわけではありませんが、全てのグループが異なる専門性とニッチな才能を稼働させています。

集団とカルテル

現代のサイバー犯罪経済のもう一つの特徴は、脅威アクターがリソースを共有する、緩やかな集団として活動する可能性があることです。その顕著な例として、分散型脅威アクター連合であるDragonForceランサムウェアカルテル(DFRC)が挙げられます。カルテルメンバーは、マルウェア、攻撃管理ツール、ストレージ、そして「信頼性の高いインフラ」といったDragonForceのリソースを活用しつつ、独自のブランド名で攻撃を仕掛けることができます。脅威アクターはこれらのリソースを自由に共有・協働して利用でき、DragonForceの中核オペレーターはサービスの対価として合意された取り分を得ることになります。カルテルとして、DFRCは広報活動も展開し、宣伝を利用して被害者に圧力をかけ、脅威環境における支配権の確立を図ります。

Scattered Spiderは、ソーシャルエンジニアリング、SIMスワッピング、なりすまし(高度な標的型攻撃(APT)と関連付けられる技術)を専門とする分散型アクター集団の別の例です。Lapsus$も同様のグループで、ソーシャルエンジニアリングと多要素認証(MFA)の悪用によるネットワークアクセス取得を専門とします。

両グループは「The Com」(「The Community」の略称)と呼ばれる大規模で緩やかな集合体から派生しました。The Comの仲間は通常、オンラインゲームやその他のインターネット空間を通じて台頭します。Darknet Diariesは2022年にThe Comのメンバーにインタビューを実施しました。ポッドキャストを聴取、またはトランスクリプトを閲覧するにはこちら

防御側にとっての意義

このギグモデルはサイバー犯罪経済のレジリエンスを高めます。脅威アクターが逮捕されなければ、単に別の領域へ移動するだけです。ITチームはギグ型脅威モデルへの防御策を検討する必要があるでしょう。セキュリティは広範で、行動ベースかつ、多層的であるべきです:

  • 既知の侵害指標だけでなく、振る舞い検知と脅威ハンティングを活用する。
  • 異常なアクセスパターンや権限昇格を監視する。
  • 従業員にフィッシング、ボイスフィッシング、なりすまし戦術の認識を訓練する。
  • ゼロトラストの原則を適用する——侵害を前提とし、あらゆるアクセス試行を検証する。
  • 新興のアンダーグラウンドツールやサービスに関する脅威インテリジェンスで情報を更新する。

バラクーダで脅威に対抗

AI搭載サイバーセキュリティプラットフォームにより、企業は保護とサイバーレジリエンスを最大化できます。高度な保護、リアルタイム分析、プロアクティブな対応機能を提供する統合プラットフォームは、セキュリティギャップの解消、運用複雑性の低減、可視性の向上を支援します。主要なセキュリティ機能を統合することで、管理負担を最小化し運用を簡素化できます。サイバーセキュリティ専門家のガイダンスにより、統合サイバーセキュリティプラットフォームのすべての利点を活用できます。

まずは、バラクーダのウェブページにアクセスし、どのようなセキュリティ対策が可能か、そのソリューションをご確認ください。

Related posts