セキュリティ研究者たちは最近、トラック輸送および物流セクターを標的とするサイバー犯罪者の活動を1ヶ月間観察し、サイバー犯罪による貨物盗難と金銭的搾取の懸念される傾向を明らかにしました。 ### 攻撃の内部：1ヶ月にわたる調査 Proofpointチームの研究は、以前の調査結果を踏まえ、これらの脅威アクターの侵害後のプレイブックを理解することを目的としていました。彼らの調査は、組織犯罪と密接に関連するサイバー犯罪による貨物盗難の脅威が増大していることを強調しています。Geotabによると、2025年の北米における貨物盗難による損失は66億ドルに達し、その大部分はデジタル攻撃によって煽られています。 Proofpointの研究者の一人であるOle Villadsen氏は、「これは単一のアクターや単一の国を超えた巨大な問題です」と述べています。 ### おとり環境が犯罪者の戦術を暴露 制御された環境を使用して、チームは意図的に輸送業者にメールで送信された悪意のあるペイロードをダウンロードしました。これは、サイバー犯罪者が貨物仲介業者と荷送人を結びつけるマーケットプレイスであるロードボードプラットフォームを侵害した後に行われました。アクセスを確保した後、攻撃者は冗長化対策として、複数のScreenConnectインスタンスを含む6つのリモートアクセスツールをインストールしました。 ### 新しい「署名サービス」手法 最も驚くべき発見は、外部の証明書署名サービスを自動的にクエリするスクリプトの使用でした。これにより、インストールされたすべてのコンポーネントが信頼された証明書で署名され、Windowsのセキュリティ対策を効果的に回避することができました。 Villadsen氏は、「これは私たちが偶然遭遇できた新しい機能でした」と述べています。彼は、この「署名サービス」ツールは、ScreenConnectが新しいインスタンスにインストーラーに署名することを要求するという最近のセキュリティ対策への適応であると考えています。 「そのため、誰もが独自の証明書を作成しようとするのではなく、このような秘密の小さな署名サービスプロセスを持つことができます」と彼は説明しました。「MSI [Microsoft Installer] が署名されただけでなく、コンポーネントファイル全体を取得して再署名することもできました。すべてがかなりよく考えられていました。」 ### 貨物盗難を超えて：金銭的標的 研究者たちは、ハッカーが貨物盗難のみに焦点を当てているのではなく、より広範な金銭的標的にも関与していることを観察しました。彼らは積極的に仮想通貨ウォレットとPayPalの認証情報をスキャンしていました。PowerShellスクリプトは、金融機関、送金サービス、オンライン会計プラットフォーム、ロード管理プラットフォーム、貨物仲介プラットフォーム、および燃料カードプロバイダーへのアクセスポイントを検索しました。 Villadsen氏は、「彼らは輸送業界を間違いなく非常によく理解しており、その特定の分野をどのように標的にするかを知っています」と述べています。「しかし、彼らはサイバー犯罪者でもあり、侵害したワークステーションを収益化できるあらゆる方法を探しています。」 ### 広範な脅威 この特定のグループはロードボードへの侵入に非常に積極的ですが、トラック輸送業界の脆弱性を悪用している多くのグループのうちの1つにすぎません。Villadsen氏と彼のチームは、北米とヨーロッパでこのセクターを標的とする約12の異なるグループを追跡しています。 この業界の脆弱性は、大多数の運送業者がサイバーセキュリティリソースが限られた小規模企業であるという事実に起因しています。ロードボードを通じてそれらを標的にすることで、ハッカーは多数の運送業者を同時に侵害することができます。 Villadsen氏は、「残念ながら、サイバー侵入に適しており、盗難のエスカレーションまたは規模拡大を非常にうまく行うことができる業界です」と結論付けています。 <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>