ハッキングで盗まれた情報がインサイダー取引に使われる

『Security Affairs』

October 5, 2017 08:00
by 『Security Affairs』

米国の証券取引委員会(Securities and Exchange Commission、以下SEC)は、「サイバー犯罪者らが2016年に同委員会の『企業アナウンスメントのデータベース』に外部から侵入され、彼らはそれをインサイダー取引に利用したように思われる」と発表した。

SEC会長のジェイ・クレイトンが「サイバーセキュリティに関する声明」を発表した。それは同委員会のシステム「EDGAR」に対して行われた2016年のセキュリティ違反を報告している。

SECのファイリングシステム「EDGAR」は、上場企業の詳細な財務報告を格納しているプラットフォームで、そこには四半期ごとの収益や買収などに関する報告が含まれている。

ワシントンにある米国証券取引委員会(SEC)本部の外観。2011年6月24日、REUTERS / Jonathan Ernst

先述の「サイバーセキュリティに関する声明」には、次のように記されている。
「2017年8月、同委員会は『2016年の時点で発見されていたインシデント』が、(インサイダー)取引を利用した違法な利得の基礎を提供した可能性があるということを知った。 具体的に言えば、『EDGARシステムのテストファイリングコンポーネントのソフトウェアの脆弱性(発見後、ただちにパッチを適用している)』が悪用され、非公開の情報にアクセスされる結果となった」

SECは、そのセキュリティ侵害の調査を行っているものの、攻撃に関する詳細な情報はシェアしていない。ハッカーに悪用されたセキュリティホールを、彼らが「ただちに」修正したということを確認しているだけだ。
このケースは、Equifaxの事件とまったく同様に面白い。なぜならSECには投資家と市場を守る義務があるからだ。

今回の侵入によって個人のID情報が危険に晒されることはなかった、とSECは考えている。

声明は次のように続いている。「この侵入行為は、個人を特定できる情報への不正アクセスをもたらしたり、委員会の業務を危険に晒したり、あるいは組織全般にリスクをもたらしたりする結果には至らなかった、と我々は考えている」
「これは大きな問題だ。そして我々は、その情報をどのようにして保護するのかを、監査機関として真剣に考えなければならない」と、SECを監督している米下院小委員会のビル・ハイジンガ委員長は語った。

また今回の事件について、専門家たちは「セキュリティ侵害の情報開示の遅れ」を指摘している。

「同委員会は、セキュリティ侵害が起きたことを昨年に検知していたにも関わらず、それが不正な取引に用いられていた可能性があるということについては、先月まで知らないままだった」とWashington Postは報じている。「このインシデントは水曜夜、SEC会長のジェイ・クレイトンが発表したサイバーセキュリティに関する8ページの(通常ではない)声明の中で、簡素に言及された。その声明は発表の遅れについて、システムがセキュリティ侵害を受けた日付について説明しておらず、また『特定の企業に関する情報が狙われたのか否か』についても説明しなかった」

「我々がシステムを保護し、サイバーセキュリティのリスクを管理するべく取り組んでいるにも関わらず、特定のケースにおけるサイバー脅威の犯人たちは、どうにかして我々のシステムにアクセスする、あるいはそれを不正に利用することに成功してきた」と、クレイトンは声明の中で述べている。

議会の監視機関「Government Accountability Office」は今年7月、SECのシステムにおけるセキュリティ問題を警告する27ページの報告書を発表していた。「暗号化の不足」「不適切なファイアウォールの設定」は、その監査機関によって報告された不遵守事項のわずかな数に過ぎない。
 
翻訳:編集部
原文:SEC announces it was hacked, information may have been used for insider trading
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。情報・データはSecurityAffairsが公開した当時のものです。

ニュースのポイント(THE ZERO/ONE編集部より)

ハッキングで不正入手したデータを使い、株取引で利益を得るといった事件は度々発生している。

2014年「FIN4」と呼ばれるグループが、企業のメールアカウントをハッキングして機密情報を手に入れ、インサイダー取引を行っているとFireEyeが指摘。2015年には、複数のプレスリリース配信サービス会社に侵入し、そこで手に入れた未公開情報を元に株取引を行い125億円以上を稼いだグループが米司法省によって起訴された。

今年の5月にも、米国の法律事務所をハッキングして、盗んだ情報を元に株式投資を行った中国人3人が逮捕され、9億円の罰金が科せられている。

米国証券取引委員会(SEC)は株式や証券取引を監督・監視する政府の組織であり、上記にあげた3つの事件にも関わっている。そんなSEC自身がサイバー攻撃の被害にあい、内部情報を盗まれるという事件が、今回のニュースだ。SEC会長のジェイ・クレイトンはサイバー犯罪対策を重要な問題の1つとしてあげていたため、このは財界・政界に衝撃をを与えている。

また同じ9月に、米国の大手消費者信用情報会社「Equifax(エキファックス)」が不正アクセスにより1億4550万人もの個人情報が漏洩。このインシデントを知った役員がニュースになる前に、自分が持っている株を大量に売却し問題になっており、サイバー攻撃とインサイダーは、注目のトピックと言ってよいだろう。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…