ファイア・アイは、企業のインサイダー情報を狙う攻撃者グループ「FIN4」の活動を検知し、攻撃手法などをまとめたレポートを発行。これを受けて、実際に想定される被害や日本企業に及ぶ可能性などを解説した。
FIN4は、同社が監視する対象の中で、金融機関を狙う脅威グループとしては4番目という意味を持つ。そのほかにも中国やロシアに拠点を持ち、国家からの支援を受けて活動している脅威グループを「APT」と命名して監視。2014年11月に新たに監視対象としたAPTグループは、28番目であることから「APT28」と呼んでいる。
FIN4グループは、金銭的な利益を目的に、従来のマルウェアとは異なる攻撃手法で株式公開企業を標的に活動しており、従業員のメールアカウントと認証情報を盗み、メールの内容や添付資料から企業情報を不正に入手するという。
同社の調査によると、2013年半ば以降、約100社におよぶ株式公開企業やコンサルティング会社で、インサイダー情報を持つ経営幹部や上級役員、顧問弁護士、法務やリスク管理者、研究者や科学者、M&Aの仲介アドバイザーといった関係者から広く情報を得ていたことが確認されていると説明する。
ファイア・アイ シニア・スタッフ・リサーチ・アナリスト 本城信輔氏
標的となったほとんどが米国の企業であり、その約7割が製薬企業やヘルスケア関連企業。「100社のうち約半数がバイオテクノロジ関連企業。この業界では、臨床試験結果や規制の決定、安全性や法律に関する問題などの各種報道に反応して、株価が大きく変動する可能性が高く、FIN4は、この種の企業をターゲットにしていた」(ファイア・アイ シニア・スタッフ・リサーチ・アナリスト 本城信輔氏)
さらに特徴的なのは、ファイルサーバなどにはアクセスせず、メールしか盗み見しない点だという。情報を搾取した事例のひとつを次のように説明する。
A社とB社がM&A交渉を行い、その際に、コンサルティング会社のC社とD社がそれぞれの企業に助言するという関係にあった場合、FIN4は、コンサルティング会社のC社にフィッシングメールで、偽サイトからメールアカウントとパスワードを入手。それを使って、M&Aを交渉中のA社とB社に、M&Aに関する内容のメールをC社の社員のアカウントを使ってメール送信。フィッシングサイトに誘導して、さらにパスワードを盗むという。
パスワードの盗み方は、外部から投稿を装って、社内の不正などの告発文を送信するところから始まる。投稿の内容については、偽のOutlook Web Access(OWA)にメールアドレスとパスワードを入力することで見られるとしており、この際にパスワードを盗むという。また、添付ファイルを開くと、VBAマクロが動きだし、そこに入力したアカウント情報が自動的に悪意のある第三者に送信されてしまうという仕組みも使われたとしている。
「オトリとなる文書は、一般の文書との区別がつきにくいこと、あるいは一度内部から盗んだ内部文書を使用している場合もあり、通常のメールと攻撃メールとの区別が簡単できないという課題がある。また、複数の人に同時に配信する場合にはBCCで送信しており、受け取った複数の人がそれぞれに自分以外に配信されていることがわからないため、『このメールはおかしくないか』という情報が共有しにくいこと、さらに、ウイルスやマルウェア、ハッキングといった言葉が入ったメールが自動的に削除されてしまうようにOutlookのルールを勝手に変更。社内からウイルスやマルウェアという言葉が入った警告メールが届かないように設定を変えてしまうということまで行っていた」
M&Aに関する事例では、M&A発表の数週間前にC社にフィッシングメールを送信し、パスワードを取得。発表の数日前にC社のアカウントを使って、A社にフィッシングメールを送信して情報を入手していた模様だ。実際、M&Aの発表後、A社とB社の株価は大きく変動したという。
ファイア・アイは「この手口には、利用者はなかなか気がつきにくい」としながらも、「VBAマクロを無効にすること、メールシステムにワンタイムパスワードなどの二要素認証を導入すること、脅威と認定されたサイトへのアクセスを制限することが対策になる」と提言した。
