ハッキングで盗まれた情報がインサイダー取引に使われる

『Security Affairs』

October 5, 2017 08:00
by 『Security Affairs』

米国の証券取引委員会(Securities and Exchange Commission、以下SEC)は、「サイバー犯罪者らが2016年に同委員会の『企業アナウンスメントのデータベース』に外部から侵入され、彼らはそれをインサイダー取引に利用したように思われる」と発表した。

SEC会長のジェイ・クレイトンが「サイバーセキュリティに関する声明」を発表した。それは同委員会のシステム「EDGAR」に対して行われた2016年のセキュリティ違反を報告している。

SECのファイリングシステム「EDGAR」は、上場企業の詳細な財務報告を格納しているプラットフォームで、そこには四半期ごとの収益や買収などに関する報告が含まれている。

ワシントンにある米国証券取引委員会(SEC)本部の外観。2011年6月24日、REUTERS / Jonathan Ernst

先述の「サイバーセキュリティに関する声明」には、次のように記されている。
「2017年8月、同委員会は『2016年の時点で発見されていたインシデント』が、(インサイダー)取引を利用した違法な利得の基礎を提供した可能性があるということを知った。 具体的に言えば、『EDGARシステムのテストファイリングコンポーネントのソフトウェアの脆弱性(発見後、ただちにパッチを適用している)』が悪用され、非公開の情報にアクセスされる結果となった」

SECは、そのセキュリティ侵害の調査を行っているものの、攻撃に関する詳細な情報はシェアしていない。ハッカーに悪用されたセキュリティホールを、彼らが「ただちに」修正したということを確認しているだけだ。
このケースは、Equifaxの事件とまったく同様に面白い。なぜならSECには投資家と市場を守る義務があるからだ。

今回の侵入によって個人のID情報が危険に晒されることはなかった、とSECは考えている。

声明は次のように続いている。「この侵入行為は、個人を特定できる情報への不正アクセスをもたらしたり、委員会の業務を危険に晒したり、あるいは組織全般にリスクをもたらしたりする結果には至らなかった、と我々は考えている」
「これは大きな問題だ。そして我々は、その情報をどのようにして保護するのかを、監査機関として真剣に考えなければならない」と、SECを監督している米下院小委員会のビル・ハイジンガ委員長は語った。

また今回の事件について、専門家たちは「セキュリティ侵害の情報開示の遅れ」を指摘している。

「同委員会は、セキュリティ侵害が起きたことを昨年に検知していたにも関わらず、それが不正な取引に用いられていた可能性があるということについては、先月まで知らないままだった」とWashington Postは報じている。「このインシデントは水曜夜、SEC会長のジェイ・クレイトンが発表したサイバーセキュリティに関する8ページの(通常ではない)声明の中で、簡素に言及された。その声明は発表の遅れについて、システムがセキュリティ侵害を受けた日付について説明しておらず、また『特定の企業に関する情報が狙われたのか否か』についても説明しなかった」

「我々がシステムを保護し、サイバーセキュリティのリスクを管理するべく取り組んでいるにも関わらず、特定のケースにおけるサイバー脅威の犯人たちは、どうにかして我々のシステムにアクセスする、あるいはそれを不正に利用することに成功してきた」と、クレイトンは声明の中で述べている。

議会の監視機関「Government Accountability Office」は今年7月、SECのシステムにおけるセキュリティ問題を警告する27ページの報告書を発表していた。「暗号化の不足」「不適切なファイアウォールの設定」は、その監査機関によって報告された不遵守事項のわずかな数に過ぎない。
 
翻訳:編集部
原文:SEC announces it was hacked, information may have been used for insider trading
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

ハッキングで不正入手したデータを使い、株取引で利益を得るといった事件は度々発生している。

2014年「FIN4」と呼ばれるグループが、企業のメールアカウントをハッキングして機密情報を手に入れ、インサイダー取引を行っているとFireEyeが指摘。2015年には、複数のプレスリリース配信サービス会社に侵入し、そこで手に入れた未公開情報を元に株取引を行い125億円以上を稼いだグループが米司法省によって起訴された。

今年の5月にも、米国の法律事務所をハッキングして、盗んだ情報を元に株式投資を行った中国人3人が逮捕され、9億円の罰金が科せられている。

米国証券取引委員会(SEC)は株式や証券取引を監督・監視する政府の組織であり、上記にあげた3つの事件にも関わっている。そんなSEC自身がサイバー攻撃の被害にあい、内部情報を盗まれるという事件が、今回のニュースだ。SEC会長のジェイ・クレイトンはサイバー犯罪対策を重要な問題の1つとしてあげていたため、このは財界・政界に衝撃をを与えている。

また同じ9月に、米国の大手消費者信用情報会社「Equifax(エキファックス)」が不正アクセスにより1億4550万人もの個人情報が漏洩。このインシデントを知った役員がニュースになる前に、自分が持っている株を大量に売却し問題になっており、サイバー攻撃とインサイダーは、注目のトピックと言ってよいだろう。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…