–【概要】—
KasperskyのDigital Footprint Intelligence(DFI)※1チームは、ダークウェブでの求人市場を調査しました。2020年1月~2022年6月の約20万件の雇用に関する投稿を分析した結果、サイバー犯罪コミュニティにおけるIT専門職の求人トップは開発者、攻撃実行者※2、デザイナーであることが判明しました。職務内容には、マルウェアやフィッシングページの作成、企業インフラストラクチャへの不正侵入、ウェブおよびモバイルアプリケーションのハッキングほかが挙げられていました。IT専門職へのオファー金額の中央値は月額1,300~4,000ドル※3でした。
————–
DFIチームの専門家が2020年1月~2022年6月に155のダークウェブフォーラムに掲載された求人広告と履歴書を調査し、長期またはフルタイムの仕事に関する情報を分析しました。DFIサービスのデータによると、調査期間中、合計で約20万件の雇用関連の投稿がダークウェブに掲載されており、その41%は2020年に掲載され、そのピークは3月でした。これはおそらく、パンデミックによる収入減少が一部の人々の間で発生した影響と考えられます。
図1:ダークウェブ求人フォーラム投稿数の月別推移(2020年1月~2022年6月)
DFIチームは、約20万件の雇用関連の投稿の中で、800以上のIT関連の求人に関してダークウェブでは曖昧になりがちな給与について明記している投稿を160件以上検証しました。その結果、各IT専門職へのオファー金額の中央値は月額1,300~4,000ドルの間でばらつきがあり、最も高い月給の中央値は4,000ドルで、リバースエンジニアの求人でした。
図2:ダークウェブでのIT専門職求人の月給中央値
調査で確認した最も高いオファーは開発者の月給2万ドルで、開発者の最低オファーは月給200ドルでした。また、求人の中には、不正侵入した組織から身代金を脅し取った場合、プロジェクトの成功報酬としてボーナスや歩合が支給されるものもありました。
ダークウェブの求人数のトップは、開発者、攻撃実行者、デザイナー
ダークウェブで最も多かった求人は開発者で、IT関連の求人に関する投稿の61%を占めていました。その中で、フィッシングページのようなさまざまなウェブプロダクトを作成するウェブ開発者の求人が60%と最多を占めました。また、マルウェアコーダーの職務明細にはトロイの木馬、ランサムウェア、情報収集ツール、バックドア、ボットネットなどのマルウェアや、攻撃ツールの作成や改造などが記載されている場合もありました。
図3:ダークウェブ上の専門職の求人内訳
2番目に多い求人は攻撃実行者、つまりネットワーク、ウェブアプリケーション、モバイルデバイスを攻撃する人材で、全求人投稿の16%を占めていました。正規の職でこれに近いのは、脆弱(ぜいじゃく)性を見つけるためのテストを担当するペネトレーションテスターです。ダークウェブでの攻撃者の仕事の大半は、企業インフラへの不正侵入を試みる活動に関連していました。その目的は、ランサムウェアの感染、データの窃取、口座から不正に資金移動することです。攻撃者を雇用しているサイバー犯罪グループの中には、不正侵入したシステムへのアクセス情報をほかのサイバー犯罪者に販売したり、ウェブやモバイルのアプリケーションをハッキングしたりすることに重点を置いているものもありました。
3番目に多い求人はデザイナーで、求人投稿の10%を占めていました。仕事の内容は通常、本物と区別がつかないようなフィッシングページや悪意のあるメッセージなどの作成です。
また、IT管理者やリバースエンジニア、分析者、テスターのほか、各種エンジニア、アーキテクト、サポートスペシャリスト、テクニカルライター、フォーラムのモデレーターといった職種、さらには経営者やプロジェクトマネジャーの求人もあります。
図4:リバースエンジニアの求人投稿の例
Kasperskyセキュリティサービス アナリスト ポリーナ・ボチカリョーワ(Polina Bochkareva)は次のように述べています。「ダークネットではIT人材のヘッドハンティングが活発に行われています。サイバー犯罪者が何に関心を持っているかを追跡し、その活動を常に分析することは、サイバー攻撃にプロアクティブに対応し、最高レベルの情報セキュリティを確保しようとする企業にとって不可欠です。相手を詳しく知るほど、周到に備えることができます」
企業を標的とするサイバー脅威から自社を保護するために、次の対策をお勧めします。
・ダークウェブのリソースを継続的に監視することで、潜在するさまざまな脅威の源を広く把握でき、攻撃者の計画や活動傾向を知ることができます。このような監視は、当社のDFIサービスの一部として提供しています。
・サーフェスウェブ、ディープウェブ、ダークウェブほか複数の脅威インテリジェンス情報源を使用して、攻撃者が実際に使用しているTTPs (戦術、技術、手順)について把握すること。
https://www.kaspersky.co.jp/enterprise-security/threat-intelligence
・注目度の高い相手を狙った攻撃に対抗するためには専用サービスが役立ちます。Kaspersky Managed Detection and Responseサービスでは、不正侵入を早期に特定し、攻撃者が目的を達成する前に阻止することを支援します。
https://www.kaspersky.co.jp/enterprise-security/managed-detection-and-response
インシデントが発生した場合はKaspersky Incident Responseサービスが対応を支援し、影響を最小限に抑えます。
https://www.kaspersky.co.jp/enterprise-security/incident-response?ysclid=l9quhot8s4729914467
例えば、侵入されたノードを特定し、将来的に同様の攻撃が行われないようインフラストラクチャを保護します。
■ ダークウェブでの求人に関する調査の詳細については、Securelistブログ「Come to the dark side: hunting IT professionals on the dark web」(英語)でご覧いただけます。
https://securelist.com/darknet-it-headhunting/108526/
※1 Digital Footprint Intelligence:当社の専門家がお客様リソースに対する攻撃状況を調査・分析し、検知された悪用される可能性のある脆弱性などの弱点や、計画されている攻撃の証拠などを脅威アラートとレポートで報告するサービスです。
※2 攻撃実行者:この場合、ネットワーク、ウェブアプリケーション、モバイルデバイスを攻撃するITスペシャリストを意味します。
※3 ロシアルーブルでの月給は、調査時点での有効レート(1ドル=75ルーブル)で換算しました。
■ Kaspersky について
Kasperskyは、1997年に設立されたグローバルで事業を展開するサイバーセキュリティ企業です。Kasperskyが有する深く高度な脅威インテリジェンスとセキュリティの専門性は、常に当社の革新的なセキュリティソリューションやサービスに反映され、世界中の企業、政府機関、重要インフラから個人のお客様までを保護しています。高度に進化するデジタル脅威に対抗するため、先進のエンドポイント保護製品をはじめ、多くのソリューションとサービスを包括するセキュリティポートフォリオを提供しています。当社のテクノロジーは、4億人以上のユーザーを保護し、24万の企業や組織の重要な資産を守る力になっています。詳しくは https://www.kaspersky.co.jp/ をご覧ください。