ここでは、株式取引を行うにあたり、入手した内部情報を利用して有利に進めたとされる「FIN4」の事件についてご紹介します。
事件の概要
セキュリティ保護のソリューションを提供しているアメリカFireEye社は、顧客のネットワークにおけるインシデントヘの対応や同社の製品が検出したデータから、株式公開企業の株価に影響を与えると考えられる内部情報に焦点を絞り、秘密裏に情報を窃取しているグループを検出、このグループを「FIN4」と名付けました。
FireEye社では「FIN4は入手した内部重要情報を活用して株式取引を有利に進め、利益を上げているのではないか」と考えているようです。
このようなサイバー攻撃は、標的の企業に直接的な損失が見られないために、攻撃を受けた標的の実態や被害範囲の把握は非常に困難なものとなります。
2013年半ばからFIN4の活動が見られ、FireEye社が把握している標的は約100社で、68%が医薬系企業、20%がM&Aコンサルティング会社、12%がその他の株式公開企業といわれています。
医薬系企業は新薬などの開発や臨床試験、国の認可に関わる情報が株価に大きな影響を与えます。
M&Aコンサルティング会社では公開前のM&A情報を数多く扱っているのです。
どのように攻撃が行なわれたか?
FIN4が標的企業を絞り込む場合、まずはその標的企業と取引のある企業が狙われます。
そして、標的企業と取引のある企業のメールアカウントから、進行中の取引案件に関する情報を標的企業にメールで送信。
送信先は、標的企業の企業機密情報を扱う経営幹部や法務関係者、顧問弁護士などです。
このメールには実際の取引でやり取りされるOfficeドキュメントが添付されており、これを開くと仕込まれている悪意のあるマクロにより偽のOutlook口グインプロンプ卜が表示されます。
ここログイン情報を入力してしまうと、FIN4のサーバーに送信されるという仕組みです。
マクロが無効化されているような環境に対しては、メール本文に偽のOWAログイン画面へのリンクを記載し、偽画面でログイン情報を窃取しようとするのです。
FIN4は、窃取したOutlook認証情報を使って標的企業の機密情報取扱者のメールアカウントにアクセスし、メール本文から機密情報を窃取します。
さらに、FIN4は侵入したことに気付かれないよう、「ハッキング」、「フィッシング」、「マルウェア」などウイルス名の単語が含まれたメールを標的者のOutlookアカウントから自動的に削除する設定を行ないます。
こうすることによって、外部からの「あなたの企業が狙われている」という警告が標的者に届かないようにするのです。
どのような対応が必要か?
FIN4の犠牲者とならないためには、以下の対策が挙げられます。
FIN4はログイン情報を送信するサーバとの通信を隠蔽するためにTorを使用するので、③も有効な手段と言えるでしょう。
① Microsoft Officeのマクロ無の効化
② OWAに二要素認証を取り入れる
③ 社内のアクセスログを監査して既知のTorノードとの通信がないか確認する
関連記事
その他の情報セキュリテイインシデント事例についてはこちらもご参照ください。