ますます巧妙になる犯罪--メール盗み読みで情報入手、株価変動で利ざや

大河原克行 2015年02月06日 17時42分

  • このエントリーをはてなブックマークに追加

 ファイア・アイは、企業のインサイダー情報を狙う攻撃者グループ「FIN4」の活動を検知し、攻撃手法などをまとめたレポートを発行。これを受けて、実際に想定される被害や日本企業に及ぶ可能性などを解説した。

 FIN4は、同社が監視する対象の中で、金融機関を狙う脅威グループとしては4番目という意味を持つ。そのほかにも中国やロシアに拠点を持ち、国家からの支援を受けて活動している脅威グループを「APT」と命名して監視。2014年11月に新たに監視対象としたAPTグループは、28番目であることから「APT28」と呼んでいる。

 FIN4グループは、金銭的な利益を目的に、従来のマルウェアとは異なる攻撃手法で株式公開企業を標的に活動しており、従業員のメールアカウントと認証情報を盗み、メールの内容や添付資料から企業情報を不正に入手するという。

 同社の調査によると、2013年半ば以降、約100社におよぶ株式公開企業やコンサルティング会社で、インサイダー情報を持つ経営幹部や上級役員、顧問弁護士、法務やリスク管理者、研究者や科学者、M&Aの仲介アドバイザーといった関係者から広く情報を得ていたことが確認されていると説明する。

本城信輔氏
ファイア・アイ シニア・スタッフ・リサーチ・アナリスト 本城信輔氏

 標的となったほとんどが米国の企業であり、その約7割が製薬企業やヘルスケア関連企業。「100社のうち約半数がバイオテクノロジ関連企業。この業界では、臨床試験結果や規制の決定、安全性や法律に関する問題などの各種報道に反応して、株価が大きく変動する可能性が高く、FIN4は、この種の企業をターゲットにしていた」(ファイア・アイ シニア・スタッフ・リサーチ・アナリスト 本城信輔氏)

 さらに特徴的なのは、ファイルサーバなどにはアクセスせず、メールしか盗み見しない点だという。情報を搾取した事例のひとつを次のように説明する。

 A社とB社がM&A交渉を行い、その際に、コンサルティング会社のC社とD社がそれぞれの企業に助言するという関係にあった場合、FIN4は、コンサルティング会社のC社にフィッシングメールで、偽サイトからメールアカウントとパスワードを入手。それを使って、M&Aを交渉中のA社とB社に、M&Aに関する内容のメールをC社の社員のアカウントを使ってメール送信。フィッシングサイトに誘導して、さらにパスワードを盗むという。

 パスワードの盗み方は、外部から投稿を装って、社内の不正などの告発文を送信するところから始まる。投稿の内容については、偽のOutlook Web Access(OWA)にメールアドレスとパスワードを入力することで見られるとしており、この際にパスワードを盗むという。また、添付ファイルを開くと、VBAマクロが動きだし、そこに入力したアカウント情報が自動的に悪意のある第三者に送信されてしまうという仕組みも使われたとしている。

 「オトリとなる文書は、一般の文書との区別がつきにくいこと、あるいは一度内部から盗んだ内部文書を使用している場合もあり、通常のメールと攻撃メールとの区別が簡単できないという課題がある。また、複数の人に同時に配信する場合にはBCCで送信しており、受け取った複数の人がそれぞれに自分以外に配信されていることがわからないため、『このメールはおかしくないか』という情報が共有しにくいこと、さらに、ウイルスやマルウェア、ハッキングといった言葉が入ったメールが自動的に削除されてしまうようにOutlookのルールを勝手に変更。社内からウイルスやマルウェアという言葉が入った警告メールが届かないように設定を変えてしまうということまで行っていた」

 M&Aに関する事例では、M&A発表の数週間前にC社にフィッシングメールを送信し、パスワードを取得。発表の数日前にC社のアカウントを使って、A社にフィッシングメールを送信して情報を入手していた模様だ。実際、M&Aの発表後、A社とB社の株価は大きく変動したという。

 ファイア・アイは「この手口には、利用者はなかなか気がつきにくい」としながらも、「VBAマクロを無効にすること、メールシステムにワンタイムパスワードなどの二要素認証を導入すること、脅威と認定されたサイトへのアクセスを制限することが対策になる」と提言した。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]