「FIN4」というサイバー脅威グループがいる。ファイア・アイが名付けたこのグループは、少なくとも2013年中旬以降から100社以上の企業を標的として、インサイダー情報を入手しているという。2015年2月4日に開催した記者説明会にて、ファイア・アイは同グループの攻撃手法やその防御策を語った。
ファイア・アイ シニア・スタッフ・リサーチ・アナリストの本城信輔氏(写真)によると、FIN4の目的は「株価の変動を予測するためのインサイダー情報を得ることに特化している」という。攻撃対象となっているのは、医療・製薬業界を中心とした米国の上場企業や、M&Aの仲介会社など。攻撃の手法は至ってシンプルで、「システム上でファイルサーバーなどにアクセスすることもなく、狙っているのはメールのみ。企業の幹部や弁護士、研究者などのメールアカウントとパスワードを搾取し、メールのやりとりを盗み見ている」という。
FIN4はマルウェアを用いることもないため、「従来型の検出ツールなどをすり抜けた可能性がある」と本城氏。実際にあった手法としては、既存のメールに返信する形式でターゲットにフィッシングメールを送信、偽のOutlook Web Accessサイトに導きアカウントとパスワードを入手したケースや、添付ファイルにおとり文書とパスワードを盗むVBAマクロを仕込んでいたケースなどがあるという。
またFIN4は、匿名通信システム「TOR」を利用。身元や場所を隠しながら盗んだ認証情報をFIN4のサーバーにテキスト形式で伝達しており、追跡が困難だという。盗み出した情報で攻撃者グループ自体が株式市場でインサイダー取引をしているのか、もしくはその情報を販売しているのかも不明で、攻撃者の特定に至っていないというが、「英語を母国語とし、投資や専門用語に詳しい人物。また、業界の内部情報にも詳しいということがわかっている」と本城氏は説明する。
FIN4からの攻撃を防御する方法としては、「デフォルトでは無効になっているはずだが、VBAマクロを無効にすること。また、メールシステムに二要素認証を導入することや、TORによるメールシステムへのアクセスを制限することなどを検討すべきだろう」と本城氏は語る。
日本で同様の攻撃はまだ発生しておらず、日本企業を攻撃するには「日本語で業界用語や専門用語に精通した人物が必要だ」と本城氏。ただ、今後こうした攻撃が模倣される可能性もあると本城氏は警告しており、「攻撃者は、実際に攻撃を起こす前に必ず偵察活動をする。狙うべきユーザーを定めたり、そのユーザーのメールアドレスを探し出したりするためだ。こうした偵察活動は、マルウェア対策が万全であれば防げるため、しっかり対策してほしい」と述べた。