ファイア・アイ(FireEye,Inc.)は12月17日、金銭的な利益を目的にした高度な脅威グループが有利に株式取引を進めるために、株式公開企業を標的に継続的に実行しているサイバー攻撃に関する包括的なインテリジェンス・レポートを公開した。
「Hacking The Street? 」レポート表紙 |
「Hacking The Street? FIN4 Likely Playing the Market(ウォール街をハッキング?株式市場での活動が疑われるFIN4)」と題したレポートでは、英語を母国語とし、ターゲットとする企業の業界知識だけでなく、金融取引にも幅広く精通したサイバー攻撃グループに関する詳細を報告している。
ファイア・アイが「FIN4」と名付けたこの脅威グループは、約100社に及ぶ株式公開企業、コンサルティング会社、そして株式取引上、確実に有利となるインサイダー情報に関わるあらゆる関係者から広く情報を収集していたことが確認されている。
FIN4の侵入行為は、株式公開企業の株価を操作(上昇・下落)可能なインサイダー情報を入手するという目的に徹している。このグループは、企業の上級役員や顧問弁護士、法務・リスク・コンプライアンスの担当者など、株式市場に影響を与える機密情報を定期的に協議する立場にある関係者の個人電子メールに対して、明確に標的を絞っている。
少なくとも2013年中旬以降から、100社以上の企業を標的としており、標的となる企業はすべて株式公開企業か、株式公開企業にサービスを提供する投資家向け広報業者(IR)、法務、投資銀行などの顧問会社であった。
また、標的となる企業の3分の2以上は、ヘルスケア企業や製薬企業となっている。この業界では、臨床試験結果や規制の決定、安全性や法律に関する問題など、各種報道に反応して株価が大幅に変動する可能性が高く、FIN4はこの種の企業を焦点を当てていると思われる。
FIN4のサイバー攻撃は、マルウェアを用いる代わりに、攻撃用に加工された企業ファイルを送り込むよう、高度に標的化されたソーシャル・エンジニアリングと、さまざまな業界に関する深い専門知識を活用している。ファイア・アイが遅くとも2013年中旬から確認しているFIN4は、企業の製品開発、M&A戦略、法的問題、購買プロセスをターゲットとするデータポイントとしていた。
ほかにも、ファイア・アイの調査チームは、FIN4が組織に入り込んでいく高度な技術を持っている一方、彼らが送信したデータ上にセキュリティのプラクティスが反映されていることを発見している。
攻撃者は匿名通信システム「Tor」を悪用して自身の拠点や身元を隠しながら、盗まれたログイン認証情報をFIN4のサーバーにテキスト形式で伝達しているとみられている。