FIN7

FIN7は、主にアメリカの小売業、レストラン、ホスピタリティ分野を標的にしているロシアのATPグループ。 2015年半ばから存在が確認されており、表向きはセキュリティ関連のフロント企業を隠れ蓑にして活動している。セキュリティ企業レコーデッド・フューチャーによると、POSシステムをハッキングして数百万枚のクレジットカードから10億ドル（約1136億円）超を盗みだしており^[1]^[2]、世界で最も成功した犯罪ハッカーグループの1つとも呼ばれている^[3]。

概要

FIN7のメンバーが何名かなどグループの詳細は分かっていないが、アメリカ合衆国司法省は「さまざまなスキルをもつ数十人のメンバー」と推測している^[4]。彼らは際立った専門知識と常にセキュリティ企業の先を行く極めて高い技術力を持っており、その手際の良さは犯罪行為というよりもむしろ国家規模のハッカー集団に近いと言われている^[5]。セキュリティ企業モーフィセックの報告によると、マイクロソフトのアプリケーションに新たに見つかった弱点を突くマルウェアをたった1日で作成するなど、新たな戦略を即座に生み出す能力にも優れている^[5]。ファイア・アイの脅威アナリストは「国家が後ろ盾になったハッカーでなければ使えないような多くのテクニックを、FIN7は銀行を攻撃するために使っています。彼らの洗練された手口は、金銭目的の犯罪者として普通では見られないほどのレヴェルにあります」と語っている^[4]。

フロント企業

2015年、ロシアとイスラエルにサイバーセキュリティ・サービスを提供するCombi Securityとして活動を開始していた^[4]^[6]。だが、世間からの注目を受けて会社の閉鎖をせざるをえなくなった^[1]。

法執行機関からの注目を避けるため別会社のBastion Secureとして活動を再開^[1]。同社はウェブサイトを運営しており「コンサルタント部門は2016年にSix Degreesに買収された」などの来歴や、｢2016年にSC MagazineのBest Managed Security Service賞を受賞した」などの業績が記載されている。そのため一見すると本物のセキュリティ企業ように見えるが、レコーデッド・フューチャーの調査の結果、この様な記述は事実ではなく、本物のサイバーセキュリティ企業であるConvergent Network Solutionsの情報を改変して流用している事が判明している^[1]。

FIN7を調査している専門家によれば、FIN7は規律正しい組織で、メンバーはごく普通に働いており週末は休日など、普通の会社のようなの勤務スケジュールだという^[5]。

2021年10月の時点で、Google Chrome、Safariなどの主要ブラウザはこの偽装サイトへのアクセスを遮断している^[1]。

別名

ハッカー集団としても多くの別名を持っている。

カーバナク（CarbanakまたはCobaltGoblin、EmpireMonkey）^[7]: 彼らが使用するマルウェア名から^[5]。この2つのグループは同一視されることもあるが、アメリカ政府の支援を受ける非営利団体「MITRE」などは異なるグループとして認識している^[8]。

コバルト（Cobalt）: 同じく使用するコバルト・ストライクから^[5]。

カーボン・スパイダー: セキュリティ会社のクラウドストライクが名付けた小売業とサービス業を狙う犯罪グループ^[5]。

コバルト・スパイダー: クラウドストライクが名付けた金融機関とATMをターゲットにするグループ^[5]。

ジョーカースタッシュ: ジェミナイ・アドバイザリーが名付けたクレジットカードのデータを売るダークウェブ市場にちなんだ名前^[5]。

歴史

2015年

活動が確認される。

8月、後に逮捕される男がCombi Securityに採用される^[6]。

2017年

3月、FIN7はCarbanakとして知られるマルウェアを使用してSECファイリング会社の従業員にのスピアフィッシング攻撃を行った^[2]^[9]。

2017年、メキシコ料理で全米で2000店以上を展開するチポトレ・メキシカン・グリルのPOSがマルウェアに感染、レストラン利用者から数百万枚の決済カード情報が盗まれた^[6]。

2018年

1月、ジェイソン・デリ（英語版）は約200万枚の決済カード情報が盗まれたことを公表した^[6]。

4月、ユーロポールなどの国際捜査機関が、「ジャックポット」と呼ばれるATMのハッキングや、マネーロンダリングを主に指揮していたCarbanakの黒幕とされる人物を逮捕した^[5]。

8月、アメリカ司法省は100を超えるアメリカ企業へのサイバー犯罪容疑でFIN7のウクライナ国籍のメンバー3人を逮捕した^[10]。3人は共謀、電信詐欺、ハッキング、アクセス機器詐欺、加重個人情報盗難など26の重罪で起訴された^[6]。

11月、レッド・ロビン（英語版）、チリーズ・グリル・アンド・バー、アービーズ、バーガービル（英語版）、オムニ・ホテルズ&リゾーツ、サックス・フィフス・アベニューのデータ侵害事件にFIN7が関与していると報告された^[11]。

2020年

3月、FIN7がBadUSB攻撃を行っていることが報告された^[12]。

12月、FIN7がランサムウェア「Ryuk」を開発したウィザード・スパイダーの協力関係である可能性が報告された^[13]。

2021年

4月、逮捕されていたFIN7の上級システム管理者1人が、司法取引をし振り込め詐欺とハッキングの2件の罪を認め^[6]、懲役10年の刑を宣告された^[14]^[15]。

FIN7が関与した主な事件

レッドロビン

2017年3月27日、高級ハンバーガーレストラン「レッドロビン」の従業員に客から苦情の電子メールが届いた。送り主からは最近同店で経験した苦情について、詳細は添付ファイルで確認するよう指示があった。これらのドキュメントファイルには悪意あるマクロが仕組まれており^[7]、それによりマルウェアに感染。1週間後、POSシステムの管理者権限を奪われ、2週間後には全798店が侵入された^[4]。

バーガービル

2018年10月、太平洋岸北西部で42店舗を運営している地域密着型のハンバーガーチェーンの「バーガービル」が、2017年9月から2018年9月に店舗で使用されたクレジットカードまたはデビットカードの情報が盗まれていたことを公表した^[2]。

8月にFBIが同社に対し攻撃を受けていることを連絡。9月19日に同社のフォレンジック・チームがPOSシステム内に侵入していたマルウェアを発見し、FBI及び外部のセキュリティ企業と協力し封じ込めたが、既に顧客の氏名、クレジットカード番号、有効期限、およびCVV番号などが外部に流出していた。バーガービルは現時点で、このハッキングで影響を受けた顧客人数などの追加情報の提供は拒否している^[2]。

BadUSB

アメリカに対し行っている悪意のあるUSBメモリを送り付ける攻撃。

→詳細は「BadUSB」を参照

脚注

[脚注の使い方]

1 2 3 4 5 “露ハッキンググループFIN7はサイバー攻撃のために偽の会社を設立し勧誘していた”. TechCrunch Japan (2021年10月23日). 2022年1月11日閲覧。
1 2 3 4 “Northwest fast food chain hack exposed customer credit cards”. TechCrunch (2018年10月4日). 2022年1月11日閲覧。
↑ “Fin7: The Billion-Dollar Hacking Group Behind a String of Big Breaches” (英語). Wired. ISSN 1059-1028 2021年3月15日閲覧。
1 2 3 4 “謎のハッキング集団「Fin7」の巧妙かつ華麗なテクニックが、メンバーの逮捕で見えた”. Wired (2018年8月17日). 2022年1月11日閲覧。
1 2 3 4 5 6 7 8 9 “10億ドルを荒稼ぎする謎のハッキング集団「Fin7」、その恐るべき技術と組織力”. Wired (2018年4月16日). 2022年1月11日閲覧。
1 2 3 4 5 6 “Fin7 sysadmin pleads guilty to running IT for billion-dollar crime syndicate”. sophos (2019年9月13日). 2022年1月11日閲覧。
1 2 “FIN7関係者は逮捕されるも、悪意ある活動は続く”. カスペルスキー (2019年5月16日). 2022年1月11日閲覧。
↑ “サイバー犯罪者グループ「Carbanak」と「FIN7」の攻撃手法を解説”. トレンドマイクロ (2021年6月3日). 2022年1月11日閲覧。
↑ “FIN7 Spear Phishing Campaign Targets Personnel Involved in SEC Filings” (英語). FireEye. 2021年3月15日閲覧。
↑ “Three Members of Notorious International Cybercrime Group "Fin7" In Custody for Role in Attacking Over 100 U.S. companies” (英語). www.justice.gov (2018年8月1日). 2021年3月15日閲覧。
↑ Gorelik. “FIN7 Not Finished – Morphisec Spots New Campaign” (英語). blog.morphisec.com. 2021年3月15日閲覧。
↑ Cimpanu. “Rare BadUSB attack detected in the wild against US hospitality provider” (英語). ZDNet. 2021年3月15日閲覧。
↑ “Collaboration between FIN7 and the RYUK group, a Truesec Investigation” (英語). TRUESEC Blog (2020年12月22日). 2021年3月15日閲覧。
↑ “High-level organizer of notorious hacking group FIN7 sentenced to ten years in prison for scheme that compromised tens of millions of debit and credit cards” (英語). www.justice.gov (2021年4月16日). 2021年4月22日閲覧。
↑ Palmer. “'High-level' organiser of FIN7 hacking group sentenced to 10 years in prison” (英語). ZDNet. 2021年4月22日閲覧。
↑ “見知らぬUSBはどうすればいいのか　会社のPCに差し込んではいけないワケ”. ITmedia ビジネスオンライン (2022年1月13日). 2022年1月13日閲覧。

[fin7-fake-company-recruit-hacks-1] 1 2 3 4 5 “露ハッキンググループFIN7はサイバー攻撃のために偽の会社を設立し勧誘していた”. TechCrunch Japan (2021年10月23日). 2022年1月11日閲覧。

[burgerville-hack-fin7-fbi-2] 1 2 3 4 “Northwest fast food chain hack exposed customer credit cards”. TechCrunch (2018年10月4日). 2022年1月11日閲覧。

[3] “Fin7: The Billion-Dollar Hacking Group Behind a String of Big Breaches” (英語). Wired. ISSN 1059-1028 2021年3月15日閲覧。

[wired20180817-4] 1 2 3 4 “謎のハッキング集団「Fin7」の巧妙かつ華麗なテクニックが、メンバーの逮捕で見えた”. Wired (2018年8月17日). 2022年1月11日閲覧。

[w20180416-5] 1 2 3 4 5 6 7 8 9 “10億ドルを荒稼ぎする謎のハッキング集団「Fin7」、その恐るべき技術と組織力”. Wired (2018年4月16日). 2022年1月11日閲覧。

[fin7-sysadmin-pleads-guilty-6] 1 2 3 4 5 6 “Fin7 sysadmin pleads guilty to running IT for billion-dollar crime syndicate”. sophos (2019年9月13日). 2022年1月11日閲覧。

[k23195-7] 1 2 “FIN7関係者は逮捕されるも、悪意ある活動は続く”. カスペルスキー (2019年5月16日). 2022年1月11日閲覧。

[8] “サイバー犯罪者グループ「Carbanak」と「FIN7」の攻撃手法を解説”. トレンドマイクロ (2021年6月3日). 2022年1月11日閲覧。

[9] “FIN7 Spear Phishing Campaign Targets Personnel Involved in SEC Filings” (英語). FireEye. 2021年3月15日閲覧。

[10] “Three Members of Notorious International Cybercrime Group "Fin7" In Custody for Role in Attacking Over 100 U.S. companies” (英語). www.justice.gov (2018年8月1日). 2021年3月15日閲覧。

[11] Gorelik. “FIN7 Not Finished – Morphisec Spots New Campaign” (英語). blog.morphisec.com. 2021年3月15日閲覧。

[12] Cimpanu. “Rare BadUSB attack detected in the wild against US hospitality provider” (英語). ZDNet. 2021年3月15日閲覧。

[13] “Collaboration between FIN7 and the RYUK group, a Truesec Investigation” (英語). TRUESEC Blog (2020年12月22日). 2021年3月15日閲覧。

[14] “High-level organizer of notorious hacking group FIN7 sentenced to ten years in prison for scheme that compromised tens of millions of debit and credit cards” (英語). www.justice.gov (2021年4月16日). 2021年4月22日閲覧。

[15] Palmer. “'High-level' organiser of FIN7 hacking group sentenced to 10 years in prison” (英語). ZDNet. 2021年4月22日閲覧。

[it220113-16] “見知らぬUSBはどうすればいいのか　会社のPCに差し込んではいけないワケ”. ITmedia ビジネスオンライン (2022年1月13日). 2022年1月13日閲覧。

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

概要

フロント企業

別名

歴史

FIN7が関与した主な事件

レッドロビン

バーガービル

BadUSB

関連項目

脚注