ブログ(トレンド&インサイト)

企業の買収と合併(M&A):二つの企業が一つになり、そこにサイバー犯罪者が加わると…

アップル社によるビーツ社の買収や、ファイザー社によるアストラゼネカ社の買収断念、そしてM&A市場の活性化に関する金融専門家による発表など、この一ヶ月はM&Aの話題で持ちきりでした。有名企業によるM&Aのニュースを耳にした時、私たちはそのM&Aによる戦略的かつ市場的な狙いを考えます。しかしM&Aが「どうなるか」や「どのような展望があるか」というニュースの裏には、M&Aに関する別の側面があります。すなわち、二つの有名企業が合併する際、これら企業は恒常的に攻撃され、重要なデータが盗まれているということです。

近年、影響力のある機密性の高い技術や業務プロセスを有する産業では、経済やセキュリティへの脅威として特にスパイ活動に対する懸念があり、外国企業の買収の際、より精密な調査を実施するようになりました。しかし国家が外国企業によるM&Aのみを発端としてスパイ活動を行うということではありませんし、また知的財産を盗むのは国家だけではありません。

これまで多くのサイバー攻撃に対処してきたファイア・アイでは、標的型攻撃を仕掛ける攻撃者は次の二つの方法でM&Aに関わる企業を標的にしていると見ています。

  • 合併または買収先となる企業の子会社やパートナー企業のネットワークを攻撃することで、最終的に標的企業の環境や情報にアクセスする
  • 合併しようとする企業が交渉を有利に進められるような内部情報を得るために、買収先となる外国企業が現在ビジネス取引をしている別会社に侵入し情報を盗む

友人からまた別の友人へ:企業同士の信頼関係を逆手に取る

ある企業のネットワーク環境に侵入し、そこに接続されているパートナー企業や子会社に侵入する攻撃者グループもあれば、ソーシャルエンジニアリング手法を使ってパートナー企業の従業員を騙るフィッシングメールを利用するグループもあります。ファイア・アイは、中国を拠点とするグループが企業同士の信頼関係や互いに接続されたネットワークを利用してターゲットに侵入したケースを確認しています。侵入方法にかかわらず、攻撃者の目的はほとんどの場合、同じです。すなわち、知的財産と機密情報の窃取です。これにより、ライバル企業の技術や製品を盗んだり、価格戦略を知ることが可能となり、攻撃者グループの関連する企業が市場において有利な立場を得ることができます。

ファイア・アイが調査したあるケースでは、子会社化を完了して間もないある企業を二つの攻撃者グループが攻撃しました。攻撃者はその企業のネットワークにアクセスできる経路を確立し、ヘルスケア分野の画期的な新製品の独自プロセスを開発した子会社に侵入しました。子会社のネットワークに入り込んだ攻撃者グループは、その製品の詳細な試験結果を含んだデータを盗みました。攻撃者グループがそのデータをヘルスケア業界の中国国有企業に渡し、その企業は革新的な製品の開発を急速に進めたと考えています。

システムを欺く:交渉のための内部情報

ファイア・アイはまた、攻撃者グループが中国企業とのM&A交渉に関わる企業を攻撃するケースを確認しています。提案されている取引を有利に進めるため、交渉人や意思決定者に重要な内部情報を提供するためのデータを盗むと考えられます。他のスパイ活動との違いは、この場合、攻撃者グループは企業の知的財産の窃取を目的としていない点です。代わりに、攻撃者グループは交渉相手の経営陣のメールや交渉条件、ビジネスプランといった情報を探します。これらは標的となった企業の経済状況や交渉戦略に関する重要な情報を交渉人にもたらします。

ある調査は、中国企業を子会社化しようとしていた企業に対し、中国を拠点とする攻撃者グループが侵入したことを明らかにしました。このM&Aは中国市場における製造・販売能力を大幅に向上させることを目的としたものでした。攻撃者は交渉に関わる複数の従業員のメールアカウントにアクセスし、交渉手続きに関する情報を検索したと考えられます。データ盗難の直後に中国政府が交渉を破棄したことから、攻撃者グループは盗んだ情報を中国側の意思決定者に渡したと見られています。

どうすればよいのでしょう?

M&Aを行う企業は、攻撃者グループがスパイ活動を仕掛けてくるというリスクを認識しなければなりません。正体不明の侵入を受けた経験や監査されていないネットワークを持つ企業とM&A交渉を始めることは、そこと新たにつながる企業に入り込もうと待ち構えていた攻撃者から攻撃にさらされることを意味します。

また、中国企業との交渉を進める企業やそれに関わる法律事務所は、中国企業が有利に交渉を進められるように攻撃者グループから情報を狙われるというリスクに直面します。攻撃やスパイ活動はつねに企業の財務や評判に大きな影響を与えますが、何億、何十億ドルもの資産をM&Aに投じようという時期にはなおさらです。

多くのケースにいえることですが、より大きな問題として国家のセキュリティ脅威につながる懸念もあるため、M&A手続きが進んでいく中でサイバー攻撃のリスクを認識し、被害を最小化することは喫緊の課題です。時には政府がセキュリティレビューを実施し、その結果によっては入札を拒否してリスクを最小化することもあります※1。多くの国の攻撃者グループはスパイ活動を行い、政府だけでは対応しきれない広範囲で、日々進化する攻撃を生み出しています。標的攻撃がいかに多様で複雑なものなのか、例としてMoleratsSaffron RoseRussia and Ukraineについてのブログをご参照下さい。

※1 “The Committee on Foreign Investment in the United States (CFIUS).” U.S. Department of the Treasury. 20 Dec. 2012. Web. 28 May 2014.