FX口座開設

ブローカーとは

ブローカーとは

Amazon MQサービスについて

簡単に説明すると、異なるシステム間でメッセージをやり取りする際に、中間システムとして メッセージ格納領域を管理する機能 のことです。ここでいうメッセージとは、SMSなどでやり取りされるメッセージとは異なっており、システムからシステムに送信される指示や渡す情報のことを指しています。例えば「処理2を行いたい」となって処理1から値や引数などの情報が必要な場合、処理1が処理2を起動する時に出す情報や指示をメッセージと呼ぶのです。

メッセージキューイングとは

そして、Amazon MQのMQとはメッセージキューイングの事を指しています。メッセージキューイングとは、メッセージブローカーを介したメッセージのやり取りを含めた異なるシステム間のデータの送受信を、第三者のソフトウェアの預けることで 送信側も受信側も任意のタイミングで送受信処理を行うことができる ようにするシステムです。
もしこのMQがなければ、送受信は毎回タイミングを合わせて同時に行う必要があり、送受信側共に処理の開始と終了を待ち続けなければならないという弊害が生まれてしまいます。

こうした弊害を解決する為のシステムがこのメッセージキューイングであり、メッセージキューイングの中間システムを担うのが先程解説したメッセージブローカーであり、今回解説している Amazon MQは、このメッセージブローカーサービスを取り扱うことができるサービス なのです。

完全マネージド型

Amazon MQでは 業界標準のAPI及びプロトコルをサポート しています。その為、従来のメッセージコードを書き換える必要なく現状を維持したまま、Amazon MQに移行することができるのです。これは大幅な工数の削減をしつつ、新しく便利なシステムに移行ができるという、大きなメリットになると言えるのではないでしょうか。例としてAmazon MQではNMS、JMS、STOMP、MQTT、WebSocketなどのメッセージング用のプロトコルを使用しています。これは元々ActiveMQという人気の高いオープンソースのメッセージブローカーを採用している事で実現しています。
また、万が一ActiveMQ以外のメッセージブローカーを現在使用していたとしても、基本的には標準に準拠したメッセージブローカーであればActiveMQをベースにしている事で様々なAPIやプロトコルとの互換性がある為、多くの場合はAmazon MQブローカーのエンドポイントの更新を行うだけで、現在利用中のアプリケーションに接続しメッセージの送信を行うことができるのです。

また他のAWSサービスとも統合されており、当然高い親和性を持っています。例えばAmazon CloudWatchではメトリクスの監視とアラームの作成を、Amazon CloudWatch LogsではAmazon MQのブローカーからログをパブリッシュすることができます。
その他にもAWS CloudTrailではAmazon MQ APIコールのログ作成や継続的な監視や保持、AWS CloudFormationではメッセージブローカー作成やアップデートなどを行います。このようにAmazon ブローカーとは MQだけではなく他の様々なサービスと連携することで、よりこのAmazon MQを活用することができる点も、Amazon MQを利用するメリットの一つと言えるのではないでしょうか。

では、Amazon MQは具体的にどのような事をユーザーの代わりに管理してくれるのでしょうか。
Amazon MQはメッセージブローカーの設定に関わる作業を管理します。例えばそれはブローカーソフトウェアのインストールであったり、インフラストラクチャキャパシティーのプロビも含まれています。ブローカーをセットアップし、実行することにより、実行中のソフトウェアのアップグレード、障害の検出及びリカバリ、セキュリティの更新などがAmazonに管理されるようになります。
Amazon MQによりブローカーに関わる作業はほぼすべて管理できるようになる のです。

ブローカーとはどういう職業でしょうか?

女性のスカートの中を盗撮したり、つきあえと脅して断ったら殺したり、そういうことをした警察官がニュースや新聞に出ます。 そうすると「ああまたあの*警の警官だ。どーしよーもねーな」と言って警察官がワルモノだというステレオタイプが作られやすくなります。 ブローカーとは これは情報の暴走であって、いわゆる風評被害というものです。 なぜ痴漢行為が新聞に載るかと言うと、警察官がやるということでニュースバリューが高いからです。 要するに警察官はもともとそういうことをやる人ではなく取り締まる人のはずですし、それがそういうことをするのが珍しいからです。 もし本当に悪者だと思うなら、わたしらは日本社会に生きていけないじゃないですか。街の治安を暴力団が守っているようなものですから。 だけどそこまでは普通思わないから免許の書き換えでも落とし物でも警察署に行くのではないですか。 珍しいことのほうが週刊誌的な話題になるでしょう。 女性医師が男遊びを繰り返して診療報酬をごまかして逮捕されたなんていうと毎日テレビにでるわけです。 普通女性医師はそういうことしないからです。 偉そうにしていたイケメンのコンサルタントが学歴詐称だといって大騒ぎになったでしょう。 それは、普通のコンサルタントはそういうことしないからです。 ブローカーがワルモノだというのは、普通のブローカーが悪事を働いていないから話題にできるのです。 もしブローカーがすべてワルモノだと決めるのであれば、毎日のご飯やおかずはいらないんですかという話になります。 それと、ブローカーというのは、職業と言っているひともいますけど、職業ではありません。 会社登記を一度でもしてみればわかりますが、ブローカーにあたるものをはっきり事業として記載することはできませんし、普通しません。 ブローカーは「引き受け販売あるいは生産単位消費単位の変換を行う役割」という役割にすぎません。 小売業なりの登記にして、「付随する業務」としてしか書けません。 付随する業務、ですから、本業が何である会社でもブローカーはできます。 ここが、詐欺とかいんちきをする連中が演じやすい役だという性質がでてくるわけです。 タバコを吸っている人間が殺人を犯したからといって、タバコ吸いがすべて人殺しだと言う人はいないわけで、ブローカーが詐欺をしたからブローカーは悪者だと思うのは勘違いです。

ブローカーとは

初期アクセス・ブローカーの知られざる人生

  • 先日ZDNetは、サイバー犯罪コミュニティに投稿されたリーク情報について独占記事を掲載しました。リークされた情報には、脅威アクターが窃取したエンタープライズ用Secure Pulseサーバー900台以上に関する詳細情報と資格情報が含まれていました
  • 今回リークされた情報は、いかにランサムウェアのリスクが拡大しているかを物語っています。KELAはそのリークの内容、リーク事件の発端を作った脅威アクター、リーク情報の流布に関与した脅威アクターについて深く掘り下げて調査を行いました。
  • 今回の短期的調査では、中間層に属するサイバー犯罪アクターである初期アクセス・ブローカーに焦点を置きました。彼らは、様々なソースからネットワークへの初期アクセスを入手して選別し、より大規模なネットワークアクセスに育て上げた後、それらのアクセスをランサムウェア・アフェリエイトに販売することを専門として活動しています。
  • アフェリエイト型ランサムウェアのネットワークが人気を集め、巨大企業はもとより規模の小さな企業にも影響が及ぶ中で、初期アクセス・ブローカーはアフェリエイト型ランサムウェアのサプライチェーンの中で急速に重要な存在となりつつあります。
  • 今回リークされたリストは、サイバー犯罪フォーラムを利用する複数の初期アクセス・ブローカーの間で回覧されていたと思われます。そして今回、彼らのようなアクターをプロとはみなさないLockBitのアフェリエイトがリストを公開しました。
  • 今回のレポートでは、サイバー犯罪コミュニティで交わされている幅広い情報をご紹介するとともに、サイバーインテリジェンスの専門家の視点から、的を絞ってスケーラブルにアンダーグラウンドのコミュニティを監視することの重要性をお伝えします。

標的型ランサムウェアの台頭によってアクターらの間には協力体制が生まれましたが、そこにはもう一つの側面があります。ランサムウェアのオペレーターは、大規模な攻撃を展開する際に必要なリモートアクセスを手に入れるため、パートナーやアフェリエイト(傘下にあるオペレーター)に協力を仰ぎます。この協力関係が生まれることによって、標的型ランサムウェア・アズ・ア・サービスのサプライチェーンの利害関係者が二つに分かれます。ひとつは攻撃のインフラを提供するランサムウェア開発者、そしてもう一つはネットワークに侵入する機会を提供し、さらにはランサムウェアそのものを展開するパートナーです。

2019年にGandCrabが導入したアフェリエイトモデル(出典: ブローカーとは McAfee )

ランサムウェアNetWalkerのオペレーターがサイバー犯罪フォーラムに投稿したアフェリエイト募集広告。アフェリエイトについて非常に具体的な基準が記載されている(今回KELAのDARKBEASTにて入手し、Google翻訳したものを上に掲載)

基本的にアフェリエイトらは、中間管理職のような立場にあるのかもしれません。常時開発者からチェックされているうえに、その給与はネットワークの侵入成功率に基づいたコミッションベースとなっています。こういった事情で、アフェリエイトが常に多数のネットワークアクセスを必要とするようになった結果、新たな種類のアクター「初期アクセス・ブローカー」が生まれました。

一般的に、初期アクセス・ブローカーは下位層に属する日和見的なアクターであり、アフェリエイトにアクセス・アズ・ア・サービスを提供しています。初期アクセス・ブローカーらは組織への初期アクセスを手に入れ、それらをRaaSアフェリエイトが占拠するアンダーグラウンドのフォーラムで販売します。RaaSアフェリエイトはそこで初期アクセスを購入し、被害者のネットワークに侵入して必要なアクセス権をすべて手に入れるまで水平移動を続け、ランサムウェアを拡散してコンピューターをロックします。

ブローカーやアフェリエイトは、必ずしも彼らのスキルや経験のレベルによって区別されているわけではなく、むしろ彼らが使用する収益化のチャネルで区別されています。アフェリエイトやランサムウェア・アクターは、ネットワークをロックして身代金を手に入れることで収益を得ますが、初期アクセスのブローカーにはそういったユースケースは存在しません。彼らは、経済的動機を持つATP(FINxグループ等)やランサムウェア・アクター、データブローカー、情報を求めてサイバー犯罪のアンダーグラウンドを徘徊する国家主体のアクターなど、基本的に初期アクセスで収益を得る術を持つ脅威アクターであれば、相手を問わずネットワークのアクセスを販売しています。

アクセス・ブローカーFXMSP(総称)と関連があるアクターの投稿。多数の組織へのアクセスがKickAssフォーラムで販売されていた(上記フォーラムは現在閉鎖)

サイバー犯罪の経済的なエコシステムにおいて、ネットワークのアクセスで収益を得るというのは目新しいことではなく、初期アクセス・ブローカーらは、標的型ランサムウェアが台頭するよりもはるか以前から存在していました。ただし彼らの顧客の数は減少傾向にありました。アンダーグラウンドの大半のコミュニティでは、詐欺行為を専門とするアクターらが大多数を占めており、彼らはアクセスよりも簡単に手元資金に変えることができる資格情報のほうに興味を持っているため、ネットワークへのアクセスで収益を上げるのは容易ではありません。そしてその一方で、無名のネットワークへのアクセスを使って収益を得ることができる洗練されたアクターの数も、つい最近まではそう多くはありませんでした。しかし、現在確立されているRaaSプログラムではプロセスが簡素化されており、ネットワークアクセスを簡単に収益化できるチャネルが整っています。そういったプログラムのおかげで、アフェリエイトはより多くのネットワークへのアクセスを求めるようになり、それを受けてアクセス専門のブローカーがより多くのアクセスを販売するようになった結果、アクター全体としての利益が増加しました。

2019年、RaaSオペレーターの台頭をうけ、脅威インテリジェンスの調査活動もアクセス・ブローカーとして活動するアクターらへと移行しました。大きな注目を集めた有名なアクターとしては、複数のハンドル名を使って様々なコミュニティで活動していたハッカー集団「FXMSP」が挙げられます。その他にも、ロシア語のコミュニティでは現在「bc.monster」や「sheriff」が活発な動きを見せています。初期アクセスのブローカーの数は、サイバー犯罪コミュニティにおいて急激に増加しており、ネットワークのアクセスを販売する主旨の投稿やアクセス商品の数も2020年は大幅に増加しています。

サイバー犯罪のフォーラムで販売されているリモートアクセスの時系列データ(出典: Positive Technologies)

アクセスを販売するブローカーが普及した主な要因、そして標的型ランサムウェアが急激に増加した間接的な要因はサイバー犯罪の自動化とサービタイゼーションです。

自動マーケットで販売されていた某組織のRDPサーバー。価格は40米ドル

このような幅広い商品を利用することで、アクターらはより多くの作業をこなすことが可能となります。初期アクセスのブローカーは、複数の企業用RDPサーバーへのアクセスを数百ドルで手に入れることができます。そして、手に入れたアクセスのなかから興味を引かれるものを「グルーミング(偵察活動や特権昇格、その他ツールのインストール)」して育てます。その後、ターゲットとするネットワークのなかで準備が整い次第、ランサムウェア・アフェリエイトが利用するサイバー犯罪のマーケットで、数千ドルの値をつけて売りに出すのです。ランサムウェア・アフェリエイトは、このようなアクセスを購入して最終攻撃に取り掛かります。

2020年8月4日、ZDNetはKELAのツールを使用して調査を行い、侵害されたSecure Pulse VPNサーバーのリストを公開した脅威アクターについての独占記事を発表しました。リストには900台を超えるサーバーの情報が掲載されており、資格情報やセッションキー、その他の機密情報も含まれていました。そして今回のリークには興味深い点がいくつかありました。何よりもまず、実際に公開されていた情報を入手して確認することで、ランサムウェアオペレーターらが今後の標的として狙っているサーバーを知ることができたのです。これは、脅威インテリジェンスモニタリング・サービスを利用することの価値を多いに示す結果と言えるでしょう。そして今回のリスト公開とその背後にある物語によって、初期アクセス・ブローカーの活動における興味深い舞台裏の一面を垣間見ることができました。

まず、今回のリークの背景となる物語を理解するためには、リストに関与している脅威アクターについて理解しておく必要があります。登場人物の一人目は、ハンドル名を「Bassterlordと名乗るウクライナ人の脅威アクターです。本人の投稿によると、彼は2016年からハッキング活動を行っているということです。そして彼のアカウント情報によると、トロイの木馬と情報窃取型マルウェアを配布するべくスパムキャンペーンを開始した後、2019年に彼を雇った脅威アクターの指導を受け、攻撃のターゲットを組織へと変更しました。Bassterlordに指導を施しメンターとなったこの脅威アクターの名前は不明ですが、彼に対してカウンセリングも行っていました。

Bassterlordが現在用いている主なTTPでは、CVE-2019-11510として追跡されている任意のファイル読み取りの脆弱性を兵器化した自動スクリプトを使用しています。この脆弱性は「Pulse Connect Secure」のSSL VPN製品に影響を及ぼすものであり、最近はランサムウェアアクターらの間で人気が高まっています。また、Bassterlordは、現在もSodinokibiのオペレーションに関与していると思われるメンターやかつての雇用主と引き続き連携して活動してゆくと語っています。

ハッカーになるまでの経緯を語ったBassterlordの投稿(上記はGoogle翻訳による)

そしてもう一人、今回のリスト公開に関係している脅威アクターが存在します。ロシア語で「あっちに行けよ、ランサムウェア」という意味の言葉に由来する「uhodiransomwar」というハンドル名を持つ脅威アクターであり、かつては「m1x」という名で知られていました。uhodiransomwarはベテランのアクターとして、2009年からBassterlordと同じアンダーグラウンドのフォーラムで活動しています(しかし最近活動が禁止されました)。彼は、最近の活動では専ら規模の小さなランサムウェア攻撃を行っており、攻撃を受けた組織が身代金を支払わなければ、たいていの場合彼らから窃取した窃取したデータを公開しています。彼はしばしば単独で活動し、LockBitなどの有名なランサムウェアも利用しているようです。

uhodiransomwarがLockBitの公式なアフェリエイト募集スレッドに書き込んだコメント。アフェリエイトパネルにアクセスさせるよう要求している

Bassterlordが最近掲載した投稿(Google翻訳による)。米国の政府機関へのアクセスを販売している

彼らは公開討論を続け、Bassterlordは、数人のアクターはすでにVPNを利用した初期アクセスについて知っていたということをほのめかすとともに、このアクセスがすでに公の情報となっていたことを認めました。後に彼は、同じネットワークにアクセスする方法を知っているアクターが複数人いたとしても、自分は彼らのアクセス方法やアクセスの活用状況については全く把握していないし、自分のアクセス方法(RDPを利用するアクセス方法)しか認識していないと主張しました。また彼は、たとえアクセス方法などの情報が他者と共有されている場合でも、ネットワークへのアクセスは早い者勝ちだと主張しています。つまり、最初にそのアクセスを使って本格的な攻撃を行ったアクターが利益(特権)を得るべきだということです。この主張は、ランサムウェアのサプライチェーンにおいて初期アクセス・ブローカーが果たす役割を示唆しています。彼ら初期アクセス・ブローカーは先行して脆弱性を活用し、本格的なネットワークアクセスに育て上げる部隊だということです。それゆえに、複数のアクターが同じ初期アクセスを選んで育てたとしても、得られる結果はアクターによって異なる可能性があると言えるでしょう。こういった事情から、初期アクセス・ブローカーと彼らを利用するアフェリエイトの間で激しい競争が繰り広げられるのです。

今回の討論は一見表面的なもののように思われますが、uhodiransomwarがBassterlordの説明だけで被害者を特定でき、彼も実際に被害者のネットワークにアクセスできたということがわかります。そしてこの事実により、何らかのタイミングで初期アクセス・ブローカーとアフェリエイトが、公開されている「侵害された企業に関するデータベース」にアクセスする可能性があることを意味しています。

KELAが今回のリーク内容を調査したところ、うち数件がこれまでにBassterlordが販売したネットワークアクセスと一致していたことから、リークされた情報が初期アクセス・ブローカーとしてBassterlordが販売したアクセス(少なくとも一部)のソースであることが証明されました。具体的は、前述した米国の政府組織やその他のBassterlordの被害者(Bassterlord712日に12000米ドルで内部ネットワークへのアクセスを販売した大学)のサーバーまでさかのぼることができました

我々は犠牲者を複数特定した後、リストの最後まで確認しようと試みました。それにしても一体、このリストはどこで作られたのでしょうか? そしてリストにあった情報は本当にアクターらの間で慎重に共有されていたのでしょうか? Bassterlordの過去の投稿を掘り下げて調べたところ、「僕は、少なくとも77個の脆弱な組織へのアクセスを持っているんだ」との記載が見つかりました。彼はこのスレッドで、自らを少し自慢げにAndrey Turchinに例えていました。Andrey Turchinとは、悪名高い初期アクセス・ブローカー「FXMSP」を背後で操るキーパーソンです。そして、「ニュースではFXMSPは130以上の企業にアクセスできたと書かれていた。ということは、僕は彼らのレベルにほぼ追いついているんだ」と書いていました。さらにBassterlordは、大幅に編集したスクリーンショットをエクセルファイルに添付して投稿していました。投稿されたエクセルファイルには、おそらく多数のエントリが含まれており、各エントリには組織のネットワークに侵入するための最初の経路(おそらく、脆弱なPulse Secureサーバー)が記載されていたものと思われます。

Bassterlordの投稿とアクセスリストのスナップショット

時折、Bassterlordは初期アクセス・ブローカーという枠から外れ、恐喝行為を直接実行してネットワークアクセスで収益を得ようとしていたようです。7月11日付の投稿(現在は削除)で、彼はスペインに拠点を置く企業に対し、5日以内に金銭を支払わなければGDPRの罰金を払うはめになるぞとからかっています。ただし、この攻撃が実際のランサムウェアを介して行われたものか、それとも手動で不正アクセスして情報を窃取し恐喝に及んだのかは不明です。また、7月12日付の投稿も、彼がランサムウェアを配布しようとしていたことを示唆しています。この投稿では、タイのメディア企業へのアクセスを販売中止するという内容を掲載しており、「自分が個人的に閉鎖した」ことをその理由に挙げていました。

証券業 第5回:委託売買(ブローカー)業務について

企業会計ナビ

EY is ブローカーとは ブローカーとは a global leader in assurance, consulting, strategy and transactions, and tax services. The insights and quality services ブローカーとは we deliver help build trust and confidence in ブローカーとは the capital markets and in economies the world over. We develop outstanding leaders who team to deliver on our promises to all of our stakeholders. In so doing, we play a critical role in building a better working world for our people, for our clients and for our communities.ブローカーとは

EY refers to the global organization, and may refer to one or more, of the member firms of ブローカーとは Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients. For more information about our organization, please visit ey.com.

© 2020 EYGM Limited. All Rights Reserved.

This material has been prepared for ブローカーとは general informational purposes only and is not intended to be relied upon as accounting, tax, or other professional advice. Please refer to your advisors for specific advice.

EY.comへようこそ

本ウェブサイトを運用する上で不可欠なクッキーに加え、利用者の利便性とEYのサービス向上のために、次の種類のクッキーを使用しています。機能性クッキー:利用者の操作性を向上させるために使用します(例:選択した設定の記憶)。パフォーマンスクッキー:ウェブサイトのパフォーマンスを測定し、利用者のサイト上での利便性を向上させるために使用します。広告/ターゲティングクッキー:広告キャンペーンを行う第三者の広告サービス提供者により設定されるもので、利用者に関連性の高いコンテンツを提供することができます。

ブローカー¶

Brokers overview ページ

Active controller パネルでは、クラスター内でアクティブコントローラーとしてレポートしているブローカーを特定できます。Kafka クラスターではブローカーの 1 つがコントローラーとなり、パーティションとレプリカの状態を管理したり、パーティションの再割り当てなどの管理タスクを実行したりします。クラスター内のコントローラーブローカーは常時 1 つだけ存在します。この識別情報パネルを使用することにより、オペレーターはコントローラーとして機能しているブローカーを把握することができます。

Active controller パネル

Self-Balancing¶

Confluent ブローカーとは Platform 6.1 以降では、Self-Balancing が有効な場合、Self-Balancing カードをクリックするとブローカータスクのステータスが表示されます。

Self-Balancing ブローカータスクのステータス

Self-Balancing が無効な場合には、Self-balancing カードで Cluster Settings から Self-balancing を表示できます。このページには、Self-Balancing の設定を編集して有効にするためのタブがあります。

Brokers ページの Self-Balancing パネルは、それ自体が Self-Balancing ブローカーとは のステータスを示します。

Self-balancing パネル

  • 「Control Center」の「 Self-Balancing Clusters の操作 」
  • Kafka の操作に関するドキュメントの「 Self-Balancing Clusters 」

階層型ストレージ¶

Tiered storage パネルでは、Cluster Settings から Storage を表示できます。このページには、 階層型ストレージを構成 できるタブがあります。

無効な状態の Tiered Storage パネル

階層型ストレージ が起動して実行状態になると、ストレージデータの統計情報がこのパネルに表示されます。

有効な状態の Tiered Storage パネル

Tiered Storage メトリクスチャート

  • Control Center の「 階層型ストレージの構成 」
  • Kafka の操作に関するドキュメントの「 階層型ストレージ 」

Confluent Cloud is a fully-managed Apache Kafka service available on ブローカーとは all three major clouds. Try ブローカーとは it free today.

Copyright © Confluent, Inc. 2014- . Apache, Apache Kafka, Kafka, and associated open source project names are trademarks of the Apache Software Foundation

関連記事

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次
閉じる