欧米でインサイダー情報を狙う攻撃 - メールのパスワードを狙う単純な手口、今後は日本も

FireEye Labs 本城信輔氏

FireEyeは2月4日、「企業のインサイダー情報を狙うサイバー犯罪グループ関する記者説明会」を開催した。FireEyeが「FIN4」と名付けたサイバー犯罪グループが、医療・製薬業界などを狙っている実態をまとめたものだ。

FireEye Labsの本城信輔氏が、FIN4の"少し変わった手口"を紹介。同社は200以上のサイバー犯罪グループを監視しており、「金融機関を狙う脅威グループ」を「FIN」と名づけて、4つ目のグループとして「FIN4」の実態を取り上げた。

FIN4の目的は、企業のメールからインサイダー情報を得ることで、ターゲットは医療・製薬業界、そしてM&Aなどのコンサルティング会社だ。

具体的にはバイオテクノロジー50%、医療用具13%、医療機器12%、医薬品製造10%となっている。多くはNYSE(ニューヨーク証券取引所)やNASDAQ(アメリカの新興企業向け株式市場)に上場しており、インサイダー情報を狙って株価での利益を狙っているものと思われる。

FIN4の特徴は「メールの監視に特化」

FIN4は医療・製薬業界の経営幹部、弁護士、コンプライアンス担当、研究員、科学者などを狙っている。最大の特徴は、メールのみをターゲットにしていることだ。通常のAPT(標的型攻撃)のように、マルウェアを忍び込ませて内部から情報を取るのではなく、単純にメールのIDとパスワードを盗みとり、メールの文書を読んだり、フィッシングメールを送ったりする。

具体的にはM&Aを行う企業・コンサルティング会社に対して、標的型メールでID・パスワードを盗みとっている。M&Aの発表直前にフィッシングメールを送る動きもあり、実際にM&Aの発表で株価が動いているため、犯人グループはここで利益を得た可能性がある。

メールのIDとパスワードを盗み取る方法は2種類ある。1つはフィッシングサイトへの誘導で、ターゲットに向けて偽のOutlook Web Acess(OWA)のリンクを送る。

OWAは、Microsoft Exchange ServerのWebメールサービスで、企業で使われているExchangeのメールやカレンダーに対して、ブラウザからアクセスできるものだ。犯罪グループが用意した偽のOWAサイトへ誘導し、ターゲットのIDとパスワードを盗み取る。

もう1つの方法は、添付ファイルでIDとパスワードを盗む方法だ。犯人から送られたフィッシングメールに、おとりの文書が添付されており、開くと偽のパネルを表示し、入力したIDとパスワードを犯人側へ送ってしまう。VBA Macroを使ったシンプルなもので、IDとパスワードを送る以外の動作をしないのが特徴だ。