古典回帰のAPT攻撃、「FIN4」にファイア・アイが注意喚起：シンプルなスピアフィッシングやVBAマクロが再び功を奏す？

ファイア・アイは2015年2月4日、同社が「FIN4」と名付けたサイバー攻撃に関する説明会を開催した。スピアフィッシングやVBAマクロといった古典的な手口を使った攻撃であり、そのシンプルさゆえに逆に盲点を突かれた可能性があるという。

[高橋睦美，＠IT]

　APT（Advanced Persistent Threat）というと、カスタマイズされたマルウェアを用い、長期にわたって標的のシステムに潜伏して情報を盗み出す——そんな凝った手口が用いられるイメージが強い。しかしファイア・アイによると、そうした思い込みや対策を逆手に取り、古典的な手法を用いた攻撃も報告されているという。

　ファイア・アイは2015年2月4日、同社が「FIN4」と名付けたサイバー攻撃に関する説明会を開催した。同社は200を超える脅威グループを監視し、APT攻撃の動向をウォッチしているが、FIN4は「その中でもかなり特殊なもの。非常にシンプルな手法を用いるため、逆に盲点を突かれた」と、ファイア・アイのシニア・スタッフ・リサーチ・アナリスト、本城信輔氏は述べた。

ファイア・アイ シニア・スタッフ・リサーチ・アナリスト 本城信輔氏

　この一連の攻撃は2013年中ごろから医薬・製薬業界の企業やM＆Aの仲介会社を対象に行われ、株価変動の予測に使えるインサイダー情報を盗み見ることを目的としていた。従業員が利用するメールサーバーのアカウントとパスワードを盗み取り、メール本文や添付資料に不正にアクセスしていたという。

　ここで認証情報を盗み取るために使われた手段は、「スピアフィッシングメール」や「VBAマクロウイルス」という非常にシンプルかつ古典的なものだ。偽のOWA（Outlook Web Access）サイトに誘導したり、業務に関連する内容に見せかけた文書を開かせ、VBAマクロでダイアログをポップアップしてIDとパスワード情報を入力させ、外部に送信していた。こうして盗み取った情報を基に、メールによるやり取りの流れを踏襲し、さらに関係する人物のアカウント情報を芋づる式に詐取していったという。ただし、狙いはメールアドレスとそのパスワードのみ。システム内に侵入し、サーバーなどを探索するような動きは見せなかったという。

　本城氏はFIN4の手法について「技術的に簡単なもの。それゆえ、高度な攻撃の検出に特化した防御をすり抜けてしまった可能性がある」と述べた。マルウェアが用いられていればその痕跡に基づいて攻撃者の身元に近付くことができるが、FIN4の手口ではそれもできない。

　ただ、技術的にシンプルだからといって、雑な攻撃だったわけではない。本城氏によると、英語が堪能で、投資や医薬・製薬業界の専門用語や内部事情に詳しいことから、それなりの専門家が関わっている可能性が高いという。加えて技術的には、盗み取った認証情報の送信にTorを用いていること、「フィッシング」「ウイルス」といった言葉が含まれているメールを削除するようOutlookにフィルタリングルールを追加すること、また標的を管理するために独自の「キャンペーンコード」を用いることなど、周到な面も見られる。

　今のところ、同じ手法で日本を狙う攻撃は確認されていないが、発生する可能性は否定できないと本城氏は指摘。この攻撃への対策として、「VBAマクロの無効化（多くのシステムではデフォルトで無効になっているが、明示的に有効にしている場合に注意が必要）」「メールシステムへの二要素認証の導入」といった項目を挙げた。さらに、「こうした攻撃が起こる前には必ず、対象組織にどんなユーザーがいるかを探るための偵察活動がある」（本城氏）とし、その偵察活動に用いられるマルウェアを見つけ出すことで、被害を防ぐ手助けになるとした。