ハッキングで盗まれた情報がインサイダー取引に使われる

『Security Affairs』

October 5, 2017 08:00
by 『Security Affairs』

米国の証券取引委員会(Securities and Exchange Commission、以下SEC)は、「サイバー犯罪者らが2016年に同委員会の『企業アナウンスメントのデータベース』に外部から侵入され、彼らはそれをインサイダー取引に利用したように思われる」と発表した。

SEC会長のジェイ・クレイトンが「サイバーセキュリティに関する声明」を発表した。それは同委員会のシステム「EDGAR」に対して行われた2016年のセキュリティ違反を報告している。

SECのファイリングシステム「EDGAR」は、上場企業の詳細な財務報告を格納しているプラットフォームで、そこには四半期ごとの収益や買収などに関する報告が含まれている。

ワシントンにある米国証券取引委員会(SEC)本部の外観。2011年6月24日、REUTERS / Jonathan Ernst

先述の「サイバーセキュリティに関する声明」には、次のように記されている。
「2017年8月、同委員会は『2016年の時点で発見されていたインシデント』が、(インサイダー)取引を利用した違法な利得の基礎を提供した可能性があるということを知った。 具体的に言えば、『EDGARシステムのテストファイリングコンポーネントのソフトウェアの脆弱性(発見後、ただちにパッチを適用している)』が悪用され、非公開の情報にアクセスされる結果となった」

SECは、そのセキュリティ侵害の調査を行っているものの、攻撃に関する詳細な情報はシェアしていない。ハッカーに悪用されたセキュリティホールを、彼らが「ただちに」修正したということを確認しているだけだ。
このケースは、Equifaxの事件とまったく同様に面白い。なぜならSECには投資家と市場を守る義務があるからだ。

今回の侵入によって個人のID情報が危険に晒されることはなかった、とSECは考えている。

声明は次のように続いている。「この侵入行為は、個人を特定できる情報への不正アクセスをもたらしたり、委員会の業務を危険に晒したり、あるいは組織全般にリスクをもたらしたりする結果には至らなかった、と我々は考えている」
「これは大きな問題だ。そして我々は、その情報をどのようにして保護するのかを、監査機関として真剣に考えなければならない」と、SECを監督している米下院小委員会のビル・ハイジンガ委員長は語った。

また今回の事件について、専門家たちは「セキュリティ侵害の情報開示の遅れ」を指摘している。

「同委員会は、セキュリティ侵害が起きたことを昨年に検知していたにも関わらず、それが不正な取引に用いられていた可能性があるということについては、先月まで知らないままだった」とWashington Postは報じている。「このインシデントは水曜夜、SEC会長のジェイ・クレイトンが発表したサイバーセキュリティに関する8ページの(通常ではない)声明の中で、簡素に言及された。その声明は発表の遅れについて、システムがセキュリティ侵害を受けた日付について説明しておらず、また『特定の企業に関する情報が狙われたのか否か』についても説明しなかった」

「我々がシステムを保護し、サイバーセキュリティのリスクを管理するべく取り組んでいるにも関わらず、特定のケースにおけるサイバー脅威の犯人たちは、どうにかして我々のシステムにアクセスする、あるいはそれを不正に利用することに成功してきた」と、クレイトンは声明の中で述べている。

議会の監視機関「Government Accountability Office」は今年7月、SECのシステムにおけるセキュリティ問題を警告する27ページの報告書を発表していた。「暗号化の不足」「不適切なファイアウォールの設定」は、その監査機関によって報告された不遵守事項のわずかな数に過ぎない。
 
翻訳:編集部
原文:SEC announces it was hacked, information may have been used for insider trading
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

ハッキングで不正入手したデータを使い、株取引で利益を得るといった事件は度々発生している。

2014年「FIN4」と呼ばれるグループが、企業のメールアカウントをハッキングして機密情報を手に入れ、インサイダー取引を行っているとFireEyeが指摘。2015年には、複数のプレスリリース配信サービス会社に侵入し、そこで手に入れた未公開情報を元に株取引を行い125億円以上を稼いだグループが米司法省によって起訴された。

今年の5月にも、米国の法律事務所をハッキングして、盗んだ情報を元に株式投資を行った中国人3人が逮捕され、9億円の罰金が科せられている。

米国証券取引委員会(SEC)は株式や証券取引を監督・監視する政府の組織であり、上記にあげた3つの事件にも関わっている。そんなSEC自身がサイバー攻撃の被害にあい、内部情報を盗まれるという事件が、今回のニュースだ。SEC会長のジェイ・クレイトンはサイバー犯罪対策を重要な問題の1つとしてあげていたため、このは財界・政界に衝撃をを与えている。

また同じ9月に、米国の大手消費者信用情報会社「Equifax(エキファックス)」が不正アクセスにより1億4550万人もの個人情報が漏洩。このインシデントを知った役員がニュースになる前に、自分が持っている株を大量に売却し問題になっており、サイバー攻撃とインサイダーは、注目のトピックと言ってよいだろう。




地図サービスが悪用される!? 住所とピンのズレは裏世界の入り口

October 23, 2017 08:00

by 牧野武文

中国で最も多くの人が使っている百度地図に、不思議なPOI(Point of Interest)、いわゆるピンが大量に登録されている。ピンの位置と、説明に記載されている住所がまったくかけ離れているのだ。法制日報の記者が、この不思議なPOI地点に足を運んで取材をしてみると、そこは上海の裏社会に繋がってい…

こっそり仮想通貨をマイニングする侵入者たち

October 20, 2017 08:00

by Zeljka Zorz

仮想通貨を渇望しながら、購入やマイニングなどにお金を払いたくないハッカーたちは、ユーザーのウォレットやコンピューター、人気のウェブサイト、そしてパブリッククラウドコンピューティングー環境を利用して、仮想通貨を手に入れようとしている。 マイニングのソフトウェア・マルウェアは、すっかり周知となった厄介者…

IoTアダルトグッズからわかる「BLE通信のセキュリティ問題」

October 18, 2017 08:00

by 江添 佳代子

ペネトレーションテストとセキュリティサービスの企業組織体「Pentest Partners」の研究者が先日、IoTのアダルトグッズの脆弱性に関する研究結果をブログで発表した。人々の注目を集めやすいグッズの話題だったためか、それは単純に面白いセキュリティニュースとして一般メディアでも取り上げられている…

自動で犯人を見つけて警察に通報する中国の監視カメラシステム

October 16, 2017 08:00

by 牧野武文

米国のテレビドラマ『24』に登場するCTU(Counter Terrorist Unit=テロ対策ユニット)は、街頭の監視カメラに侵入し、テロリストの姿をいったん補足すると、次々と別のカメラを使って追尾をしていくシーンがある。広東省の深圳を始めとする各都市で、このような監視カメラ追尾システムの試験運…