「ウォール街における株式の不正取引を狙った高度なサイバー脅威グループ「FIN4」について

主にヘルスケアや製薬業界などの株式公開企業を標的に、インサイダー情報の窃取を目的としたサイバー攻撃の新たな手口

高度なサイバー攻撃の対策製品・サービスで業界をリードするファイア・アイ(FireEye, Inc.、本社:米国カリフォルニア州ミルピタス、日本法人:東京都千代田区、代表:茂木正之)は、金銭的な利益を目的にした高度な脅威グループが有利に株式取引を進めるために、株式公開企業を標的に継続的に実行しているサイバー攻撃に関する包括的なインテリジェンス・レポートを公開しました。

「Hacking The Street? FIN4 Likely Playing the Market(ウォール街をハッキング? 株式市場での活動が疑われるFIN4)」と題したレポートでは、英語を母国語とし、ターゲットとする企業の業界知識だけでなく、金融取引にも幅広く精通したサイバー攻撃グループに関する詳細を報告しています。ファイア・アイが「FIN4」と名付けたこの脅威グループは、約100社に及ぶ株式公開企業、コンサルティング会社、そして株式取引上、確実に有利となるインサイダー情報に関わるあらゆる関係者から広く情報を収集していたことが確認されています。

標的となる株式公開企業や顧問会社の役員、および関係者
FIN4の侵入行為は、株式公開企業の株価を操作(上昇・下落)可能なインサイダー情報を入手するという、1つの目的に徹して活動しているようです。このグループは、企業の上級役員や顧問弁護士、法務・リスク・コンプライアンスの担当者など、株式市場に影響を与える機密情報を定期的に協議する立場にある関係者の個人電子メールに対して、明確に標的を絞っています。FIN4は、少なくとも2013年中旬以降から、100社以上の企業を標的としており、標的となる企業はすべて株式公開企業か、株式公開企業にサービスを提供する投資家向け広報業者(IR)、法務、投資銀行などの顧問会社です。また標的となる企業の3分の2以上は、ヘルスケア企業や製薬企業となっています。この業界では、臨床試験結果や規制の決定、安全性や法律に関する問題など、各種報道に反応して株価が大幅に変動する可能性が高く、FIN4はこの種の企業を焦点を当てていると思われます。

ファイア・アイの脅威情報担当バイスプレジデントであるダン・マクウォーター(Dan McWhorter)は、次のように述べています。「株式取引を有利に進めることを目的にしたサイバー攻撃の脅威については、以前から懸念されていました。だが、実際に活動が検知されたことはこれまでありませんでした。FIN4は、株式市場の取引で利用すれば犯罪となるような、真の価値ある情報を組織的に不法入手しようとする洗練された攻撃グループで、初めて弊社によって確認されました」

ファイア・アイでは、インシデント対応、マネージド・サービスをご利用のお客様に対し、侵害されうるFIN4からの攻撃、ファイア・アイ製品による検知データ、そして独自調査を通して、FIN4による活動の特徴を明らかにしています。

マルウェアを使わない独自の攻撃手法と特徴
ファイア・アイが追跡している中国や東欧などの国家から支援を受けて活動するAPTグループとは異なり、FIN4はかつて検知したことのない独自の方法で攻撃を実行しています。FIN4のサイバー攻撃は、マルウェアを用いる代わりに、攻撃用に加工された企業ファイルを送り込むよう、高度に標的化されたソーシャル・エンジニアリングと、さまざまな業界に関する深い専門知識を非常に活用しています。ファイア・アイが遅くとも2013年中旬から確認しているFIN4は、企業の製品開発、M&A戦略、法的問題、購買プロセスをターゲットとするデータポイントとしていました。

FIN4はマルウェアを使わないという独自の手法によって、従来型の検出ツールやアトリビューション分析からの発覚を回避してきました。そうした中、ファイア・アイでは調査と検出を重ね、攻撃グループのソーシャル・エンジニアリングと文書加工に関する分析の結果を本レポートで報告しています。流暢な英語でのコミュニーション、規制とコンプライアンスの遵守、業界知識を持ち合わせていることから、ファイア・アイの調査チームでは、FIN4が米国あるいは西欧を拠点としていると考えています。

その他、ファイア・アイの調査チームは、FIN4が組織に入り込んでいく高度な技術を持っている一方で、彼らが送信したデータ上にセキュリティのプラクティスが反映されていることを発見しています。攻撃者は匿名通信システムTOR(トーア)を悪用して自身の拠点や身元を隠しながら、盗まれたログイン認証情報をFIN4のサーバーにテキスト形式で伝達しているとみられています。

最後に
FIN4の活動に関して私たちの目が届くのは、ネットワーク・オペレーションの範囲に限定されます。ファイア・アイができるのは、彼らが入手可能な価値ある情報がいかに悪用され、そして利益をもたらしているかを推測することにすぎません。しかし、それでも揺るぎのない事実が1つあります。多数の株式公開企業の株価に多大な影響を及ぼしかねない、インサイダー情報を入手することで、FIN4が株式取引を極めて有利に進めていることは間違いないのです。

ファイア・アイでは、本レポートに加えて、FIN4の活動の検知に役立つインジケータ(英語)を公開しており、下記URLからダウンロードできます。

https://github.com/fireeye/iocs/tree/master/FIN4

FIN4の標的型攻撃の例などの解説を含むレポート全文(英語)は、下記URLでご覧いただけます。