FIN 脅威グループ
FIN 脅威グループ とは何ですか?
FIN 脅威グループMandiant 流の命名で、決済システム・小売・宿泊・金融機関などを狙う金銭目的の脅威グループ。
Mandiant(現 Google Threat Intelligence)は、諜報を担う APT と区別して、金銭的利益を主目的とするクラスタに FIN というプレフィックスを与えています。代表例は FIN6(POS のカードデータ、その後ランサムウェア展開)、FIN7(長期にわたるカーディングと BEC、2018 年に米国で起訴され、Carbanak/Carbon Spider へ発展)、FIN8(宿泊・小売の POS が主、後に Ragnar Locker アフィリエイト)、FIN11(Cl0p の漏洩サイト運用、MOVEit 大規模事件)、そして FIN12(トップクラスのランサムウェア展開者)です。各クラスタはツールセット、キルチェーンの痕跡、ルアー、インフラ、暗号資産の現金化パターンで区別されます。一部の FIN グループは後に国家利益と重なることもあり、アナリストは昇格基準を満たすまで FIN の名称を維持します。
● 例
- 01
FIN7 のメンバーは 2018 年に米国司法省により逮捕・起訴され、数千万ドル規模のカード詐欺に関与したとされる。
- 02
FIN11 は 2023 年の Cl0p による MOVEit Transfer 大量恐喝事件の主導者と位置付けられている。
● よくある質問
FIN 脅威グループ とは何ですか?
Mandiant 流の命名で、決済システム・小売・宿泊・金融機関などを狙う金銭目的の脅威グループ。 サイバーセキュリティの 防御と運用 カテゴリに属します。
FIN 脅威グループ とはどういう意味ですか?
Mandiant 流の命名で、決済システム・小売・宿泊・金融機関などを狙う金銭目的の脅威グループ。
FIN 脅威グループ はどのように機能しますか?
Mandiant(現 Google Threat Intelligence)は、諜報を担う APT と区別して、金銭的利益を主目的とするクラスタに FIN というプレフィックスを与えています。代表例は FIN6(POS のカードデータ、その後ランサムウェア展開)、FIN7(長期にわたるカーディングと BEC、2018 年に米国で起訴され、Carbanak/Carbon Spider へ発展)、FIN8(宿泊・小売の POS が主、後に Ragnar Locker アフィリエイト)、FIN11(Cl0p の漏洩サイト運用、MOVEit 大規模事件)、そして FIN12(トップクラスのランサムウェア展開者)です。各クラスタはツールセット、キルチェーンの痕跡、ルアー、インフラ、暗号資産の現金化パターンで区別されます。一部の FIN グループは後に国家利益と重なることもあり、アナリストは昇格基準を満たすまで FIN の名称を維持します。
FIN 脅威グループ からどのように防御しますか?
FIN 脅威グループ に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
FIN 脅威グループ の別名は何ですか?
一般的な別名: FIN クラスタ。
● 関連用語
- defense-ops№ 057
APT グループ
ベンダーや政府が長年追跡する名前付き脅威アクター(多くは国家支援)で、特定の組織や業界に対して目的を絞った長期かつ潤沢な侵入活動を行う。
- defense-ops№ 1191
UNC クラスタ(未分類)
アクターや動機、後援者が APT・FIN へ昇格させるほど確証されていない一連の関連侵害に対して Mandiant が与える追跡ラベル。
- defense-ops№ 901
ランサムウェアギャング
金銭目的のサイバー犯罪グループで、ランサムウェアを開発・運用・配布し、ファイル暗号化とデータ漏洩の脅迫によって組織を恐喝する。
- defense-ops№ 1145
脅威アクター
サイバー活動を通じて情報システム、組織、または人々に意図的に被害を与え、あるいは与えようとする個人または集団。
- defense-ops№ 1148
脅威インテリジェンス
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
- defense-ops№ 1131
戦術・技術・手順(TTPs)
脅威アクターの活動を「戦術(なぜ)・技術(どう)・手順(具体的な実装)」の階層で表現したもの。