ダークWebでは脆弱性情報や不正プログラムが高値で取引されている。なかには1万ドル以上で取引されているものもあるようだ。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Flashpointが2023年9月12日(現地時間)に発表した調査結果によると(注1)、認証情報と脆弱(ぜいじゃく)性の取引に特化したダークWebのマーケットプレースには、企業に対して実行された著名な攻撃に関連するものが掲載されているという。
Flashpointによると、2023年の上半期にダークWebでの購入が報告された3つの不正プログラムには、知名度が高く、積極的に悪用されている共通脆弱性識別子(以下、CVE)が含まれていた。
Barracudaの電子メールに関連するセキュリティゲートウェイアプライアンスに対してリモートコードを実行できる脆弱性「CVE-2023-2868」は(注2)、2023年の第2四半期に1万5000ドルで購入された。Barracudaは同年5月にこのゼロデイ脆弱性を開示し、修正を試みたが(注3)、修正は失敗し、不正プログラムは今も利用されている(注4)(注5)。
Flashpointの脅威インテリジェンスアナリストは、同年6月16日にこの不正プログラムに関心を示す投稿を発見し、その2日後に別のユーザーが不正プログラムに関する支援を提供している。
Flashpointによると、「Citrix ShareFile」に影響を与える「CVE-2023-24489」が2万5000ドルで販売され(注6)、DrayTekルーターに影響を与える「CVE-2022-32548」の不正プログラムは金額こそ不明だが、2件購入されているという(注7)。
「ダークWebでの販売は通常ダイレクトメッセージで実行されるため、これらの事例で取引が成功したかどうかは確認できない」とFlashpointは述べている。
IBMのデータ侵害コストに関する年次報告書によると(注8)、パッチ未適用の既知の脆弱性を利用する不正プログラムは、調査対象となった侵害の5%以上を占めている。
Flashpointは、2023年の上半期にダークWebで販売または購入されていた27の不正プログラムを確認した。そのうちの3分の1はMicrosoft製品に関連していた。
Flashpointによると、AdobeやFortinet、Oracle、Veeam、VMwareの製品の脆弱性を悪用する不正プログラムもダークWebに出品されているという。
それらの価格は6カ月間で大きく変動し、ある不正プログラムは600ドルで販売され、別のものは2万5000ドルだった。
(注1)Sales and Purchases of Vulnerability Exploits(Flashpoint.io)
(注2)CVE-2023-2868 Detail(NIST)
(注3)Barracuda patches actively exploited zero-day vulnerability in email gateways(Cybersecurity Dive)
(注4)Barracuda urges customers to replace compromised ESG appliances immediately(Cybersecurity Dive)
(注5)Barracuda ESG zero-day exploit still under way after patches fail(Cybersecurity Dive)
(注6)CVE-2023-24489 Detail(NIST)
(注7)CVE-2022-32548 Detail(NIST)
(注8)Fight back against data breaches(IBM)
© Industry Dive. All rights reserved.