FIN7は、主にアメリカの小売業、レストラン、ホスピタリティ分野を標的にしているロシアのATPグループ。 2015年半ばから存在が確認されており、表向きはセキュリティ関連のフロント企業を隠れ蓑にして活動している。セキュリティ企業レコーデッド・フューチャーによると、POSシステムをハッキングして数百万枚のクレジットカードから10億ドル(約1136億円)超を盗みだしており[1][2]、世界で最も成功した犯罪ハッカーグループの1つとも呼ばれている[3]。
概要
FIN7のメンバーが何名かなどグループの詳細は分かっていないが、アメリカ合衆国司法省は「さまざまなスキルをもつ数十人のメンバー」と推測している[4]。彼らは際立った専門知識と常にセキュリティ企業の先を行く極めて高い技術力を持っており、その手際の良さは犯罪行為というよりもむしろ国家規模のハッカー集団に近いと言われている[5]。
セキュリティ企業モーフィセックの報告によると、マイクロソフトのアプリケーションに新たに見つかった弱点を突くマルウェアをたった1日で作成するなど、新たな戦略を即座に生み出す能力にも優れている[5]。ファイア・アイの脅威アナリストは「国家が後ろ盾になったハッカーでなければ使えないような多くのテクニックを、FIN7は銀行を攻撃するために使っています。彼らの洗練された手口は、金銭目的の犯罪者として普通では見られないほどのレヴェルにあります」と語っている[4]。
フロント企業
2015年、ロシアとイスラエルにサイバーセキュリティ・サービスを提供するCombi Securityとして活動を開始していた[4][6]。だが、世間からの注目を受けて会社の閉鎖をせざるをえなくなった[1]。
法執行機関からの注目を避けるため別会社のBastion Secureとして活動を再開[1]。同社はウェブサイトを運営しており「コンサルタント部門は2016年にSix Degreesに買収された」などの来歴や、「2016年にSC MagazineのBest Managed Security Service賞を受賞した」などの業績が記載されている。そのため一見すると本物のセキュリティ企業ように見えるが、レコーデッド・フューチャーの調査の結果、この様な記述は事実ではなく、本物のサイバーセキュリティ企業であるConvergent Network Solutionsの情報を改変して流用している事が判明している[1]。
FIN7を調査している専門家によれば、FIN7は規律正しい組織で、メンバーはごく普通に働いており週末は休日など、普通の会社のようなの勤務スケジュールだという[5]。
2021年10月の時点で、Google Chrome、Safariなどの主要ブラウザはこの偽装サイトへのアクセスを遮断している[1]。
別名
ハッカー集団としても多くの別名を持っている。
- カーバナク(CarbanakまたはCobaltGoblin、EmpireMonkey)[7]
- 彼らが使用するマルウェア名から[5]。この2つのグループは同一視されることもあるが、アメリカ政府の支援を受ける非営利団体「MITRE」などは異なるグループとして認識している[8]。
- コバルト(Cobalt)
- 同じく使用するコバルト・ストライクから[5]。
- カーボン・スパイダー
- セキュリティ会社のクラウドストライクが名付けた小売業とサービス業を狙う犯罪グループ[5]。
- コバルト・スパイダー
- クラウドストライクが名付けた金融機関とATMをターゲットにするグループ[5]。
- ジョーカースタッシュ
- ジェミナイ・アドバイザリーが名付けたクレジットカードのデータを売るダークウェブ市場にちなんだ名前[5]。
歴史
- 2015年
活動が確認される。
8月、後に逮捕される男がCombi Securityに採用される[6]。
- 2017年
3月、FIN7はCarbanakとして知られるマルウェアを使用してSECファイリング会社の従業員にのスピアフィッシング攻撃を行った[2][9]。
2017年、メキシコ料理で全米で2000店以上を展開するチポトレ・メキシカン・グリルのPOSがマルウェアに感染、レストラン利用者から数百万枚の決済カード情報が盗まれた[6]。
- 2018年
1月、ジェイソン・デリ(英語版)は約200万枚の決済カード情報が盗まれたことを公表した[6]。
4月、ユーロポールなどの国際捜査機関が、「ジャックポット」と呼ばれるATMのハッキングや、マネーロンダリングを主に指揮していたCarbanakの黒幕とされる人物を逮捕した[5]。
8月、アメリカ司法省は100を超えるアメリカ企業へのサイバー犯罪容疑でFIN7のウクライナ国籍のメンバー3人を逮捕した[10]。3人は共謀、電信詐欺、ハッキング、アクセス機器詐欺、加重個人情報盗難など26の重罪で起訴された[6]。
11月、レッド・ロビン(英語版)、チリーズ・グリル・アンド・バー、アービーズ、バーガービル(英語版)、オムニ・ホテルズ&リゾーツ、サックス・フィフス・アベニューのデータ侵害事件にFIN7が関与していると報告された[11]。
- 2020年
3月、FIN7がBadUSB攻撃を行っていることが報告された[12]。
12月、FIN7がランサムウェア「Ryuk」を開発したウィザード・スパイダーの協力関係である可能性が報告された[13]。
- 2021年
4月、逮捕されていたFIN7の上級システム管理者1人が、司法取引をし振り込め詐欺とハッキングの2件の罪を認め[6]、懲役10年の刑を宣告された[14][15]。
FIN7が関与した主な事件
レッドロビン
2017年3月27日、高級ハンバーガーレストラン「レッドロビン」の従業員に客から苦情の電子メールが届いた。送り主からは最近同店で経験した苦情について、詳細は添付ファイルで確認するよう指示があった。これらのドキュメントファイルには悪意あるマクロが仕組まれており[7]、それによりマルウェアに感染。1週間後、POSシステムの管理者権限を奪われ、2週間後には全798店が侵入された[4]。
バーガービル
2018年10月、太平洋岸北西部で42店舗を運営している地域密着型のハンバーガーチェーンの「バーガービル」が、2017年9月から2018年9月に店舗で使用されたクレジットカードまたはデビットカードの情報が盗まれていたことを公表した[2]。
8月にFBIが同社に対し攻撃を受けていることを連絡。9月19日に同社のフォレンジック・チームがPOSシステム内に侵入していたマルウェアを発見し、FBI及び外部のセキュリティ企業と協力し封じ込めたが、既に顧客の氏名、クレジットカード番号、有効期限、およびCVV番号などが外部に流出していた。バーガービルは現時点で、このハッキングで影響を受けた顧客人数などの追加情報の提供は拒否している[2]。
BadUSB
アメリカに対し行っている悪意のあるUSBメモリを送り付ける攻撃。
関連項目
脚注