ファイア・アイは2月4日、企業を標的にインサイダー情報の不正取得を狙う攻撃グループ「FIN4(フィン フォー)」についての記者説明会を開催した。同グループは米国の医療/製薬業界の100社以上を攻撃ターゲットとしているが、日本でも同様の攻撃が起こる可能性が指摘された。
ファイア・アイ シニア・スタッフ・リサーチ・アナリストの本城信輔氏
説明会ではFireEye Labsの本城信輔氏が、FIN4の攻撃の狙いや、攻撃手法の特徴などを説明した。同社研究チームでは、特定の対象を長期にわたり標的とするAPT攻撃グループや、金融関連の動機を持つFINグループを中心に、総数200を超える攻撃グループの動向を常時監視している。FIN4は、4番目に確認されたFINグループを指す同社内の呼称。
攻撃手法は単純、「特徴のないのが特徴」とも
本城氏によると、FIN4の活動目的は、株価の変動を予測して金銭的な利益を得ることにあると推測されている。具体的な攻撃ターゲットは、医療/製薬業界の企業やM&Aの仲介企業などで重要な情報を握っている、企業幹部や弁護士、コンプライアンス担当スタッフ、研究員、M&Aアドバイザなど。新たな製品や研究成果、M&Aといった、株価に大きな影響を与えるインサイダー情報を発表前に盗み出し、株式売買で不正に利益を得ようというわけだ。
FIN4は、医療/製薬業界の企業やM&Aの仲介会社からインサイダー情報を盗み出すことを狙っている
FIN4の攻撃手法は「かなり特徴的」だと、本城氏は語る。FIN4では、メールを通じたスピアフィッシングで特定の人物のメールアカウントとパスワードを詐取し、メールでやり取りされるインサイダー情報を盗み見る。「通常の攻撃では、企業内に侵入してサーバーから機密情報などのファイルを盗むケースが多い。しかし、FIN4はメールにしかアクセスしない」(本城氏)。
さらに、FIN4のスピアフィッシング手法は単純だ。メールで偽のOWA(Outlook Web Access)ログイン画面に誘導したり、おとりファイルに埋め込んだVBAマクロでOutlookのログインダイアログを表示したりして、メールアカウント/パスワードを入力させる。ただし、マクロの内容があまりに単純で、PCへ感染するようなコードが含まれていないため、逆にアンチウイルスやセキュリティ製品が検知しない可能性もあるという。「FIN4はそれを狙ったのではないか」(本城氏)。
実際の事例に基づき、攻撃の流れも紹介された。まずコンサルティング企業A社のメールアカウントを侵害し、そのメールの盗み読みで得られた内部情報を使って次々と関係者/関係企業へのスピアフィッシングを実行、侵害範囲を拡大してインサイダー情報を得ていくというものだ。
実際の攻撃事例。コンサルティング企業A社を“入口”として、関係者/関係企業に次々と侵害を拡大してインサイダー情報を得る
本来は関係者しか知り得ない内部情報や、実際にやり取りされている内部文書(これに不正なマクロを追加する)を使ってスピアフィッシングが行われるため、すぐに偽者であることを見破るのは困難だという。「通常のメールと攻撃メールとを区別するのは難しい。これまでやり取りしてきた相手が急に偽者にすり替わっても、通常は気づかない」(本城氏)。
攻撃グループ、背後に専門用語や業界の内部事情に詳しい専門家が?
このように攻撃手法が単純で特徴が薄いこと、Tor経由でメールにアクセスしていることなどから、ファイア・アイでは具体的な攻撃者の特定までには至っていない。ただし、英語を母国語とし、投資や専門用語に詳しい人物や、業界の内部事情に精通した人物が複数関わっていることが推測されると、本城氏は述べた。
「攻撃手法は(技術的には)単純だが、どこの企業の誰を狙い、どんな内容のメールを送るかといったことを考えるためには、ある程度の人数の“専門家”が必要になるはずだ」(本城氏)
こうした攻撃は他の業界でも同じように可能であり、日本でも同様の攻撃が展開される可能性はある。その防御策として本城氏は、メールアクセスに対して二要素認証を導入することが特に有効であると答えた。また、本格的な攻撃が始まる前の「偵察活動」段階で、その存在を察知することも重要となる。
FIN4の攻撃に対する防御策。システム側/管理者側でできる対策としては、二要素認証が特に有効である
加えて本城氏は、アジア地域ではAPT攻撃が盛んであり、知的財産を狙ったハイテク/製造業や大学への攻撃が多いこと、医療/製薬企業を対象としたAPT攻撃も今後増える可能性があると述べ、日本企業でもより一層の警戒が必要になっていると訴えた。
