ファイア・アイ

ファイア・アイ(FireEye)は、アメリカ合衆国カリフォルニア州ミルピタスに本社を置くサイバーセキュリティ企業^[2]。サイバー攻撃の検出と防止、調査により、悪意のあるソフトウェアから保護するためのハードウェア、ソフトウェア、およびサービスを提供している^[3]。 FireEyeは2004年に設立され、当初は、インターネットのトラフィックを企業や政府のネットワークに転送する前にダウンロードしてテストする仮想マシンの開発に注力していたが、他社を買収することで徐々に多様化していった。企業のコンピュータセキュリティの大きな問題が発生したときに、専門家として対応することでその名を知られている。USAトゥデイによると、過去2年間にFireEyeは、Target、JPモルガン・チェース、ソニー・ピクチャーズ、アンセムなどに対する攻撃を調査するために招集されたという^[4]。

ファイア・アイ

種類	上場企業
市場情報	ラッセル1000指数（英語版）
業種	コンピュータセキュリティ
設立	2004年
創業者	アッシャー・アジズ（英語版）
本社	カリフォルニア州ミルピタス
主要人物	ケビン・マンディアCEO
製品	サイバーセキュリティ ハードウェア & ソフトウェア
サービス	IT セキュリティコンサルティングサービス
売上高	US$940 million (2020)[1]
総資産	US$3.245 billion (2020)[1]
純資産	US$732 million (2020)[1]
従業員数	~3,400 (December 2020)[1]
親会社	Symphony Technology Group
ウェブサイト	www.fireeye.com

社史

ファイア・アイは2004年に旧サン・マイクロシステムズのエンジニアだったアッシャー・アジズ（英語版）により設立された^[3][5]。2005年にはセコイア・キャピタルやノーウェスト・ベンチャー・パートナーズ、2008年にはDAGベンチャーズなどから初期投資を受けた^[6]。 FireEyeの最初の商用製品は、2010年まで発売されなかった^[7]。同年、FireEyeは中東に進出^[8]。これを皮切りに、2010年にアジア太平洋地域^[9]、2011年にヨーロッパ^[10]、2013年にアフリカと、続々と世界各地に拠点を開設している^[11]。

2012年から2016年までCEOを務めたデヴィッド・デウォルト

2012年12月には創業者のアジズが最高経営責任者（CEO）を辞任し、旧マカフィーCEOのデヴィッド・デウォルトがCEOに就任した^[2][12][13]。デウォルトは、同社の新規株式公開（IPO）の準備のために採用された^[7][14]。翌年、FireEyeはベンチャーキャピタルからさらに5,000万ドルを調達し、資金総額は8,500万ドルに達した^[15][16]。2013年末、ファイア・アイは株式を公開し、3億ドルを調達した。

当時、FireEyeは急速に成長しており^[12]、2011年には175人しかいなかった従業員が、2013年6月には900人にまで増加した。収益は2010年から2012年の間に8倍になった。だが、研究開発費などの運用コストが高いため、まだ利益を出せずにいた。

2013年12月、FireEyeはMandiantを10億ドルで買収した^[17]。Mandiantは、2004年にケビン・マンディアが設立した民間企業で、データセキュリティ侵害が発生した際に、インシデント対応サービスを提供する企業だった^[18]。Mandiantは、有名なハッカーグループを調査したことで名を知られており、買収前は、FireEyeがセキュリティ侵害を特定し、Mandiantと提携してハッカーが誰であるかを調査するということが多かった。買収されたことで子会社となった。

ハッカーグループやその他のサイバーセキュリティリスクに関する情報を収集した脅威インテリジェンス企業2014年末、FireEyeはより幅広い製品開発をするための資金集めのために、さらに11億ドルの株式を売却するセカンダリー・オファリングを開始した^[19]。そのすぐ後に、別のデータ侵害調査会社であるnPulseを約6000万ドルで買収した^[20]。

2015年までに、FireEyeは年間収益が1億ドルを超えていたが、主に研究開発費が原因で^[5]、まだ採算は取れていなかった^[21]。

2016年1月、ファイア・アイは、ハッカーグループやその他のサイバーセキュリティリスクに関する情報を収集した脅威インテリジェンス企業であるiSIGHT Partnersを2億7500万ドルで買収した^[22][23][24]。さらに、ITセキュリティ自動化企業であるInvotasも買収した^[25][26]。

デウォルトは2016年にCEOを辞任し、MandiantのCEOで、元ファイア・アイ社長のケビン・マンディアが後任に就いた^[2][5]。その後、売り上げが予想を下回ったことによるダウンサイジングとリストラが行われ、300〜400人の従業員が一時解雇された^[27][28]。その後、サブスクリプションモデルへの移行や、コストの削減を行い、利益と収益を増加させることに成功した^[29]。

2021年6月、ファイア・アイは、Mandiantの名称を維持したまま、FireEye Products事業とFireEyeの名称を、シンフォニー・テクノロジー・グループ(STG)が率いるコンソーシアムに売却することを発表した^[30]。

買収

発表日	買収企業	ビジネス	取引規模	出典
2013年12月30日	Mandiant	情報セキュリティー	10億ドル	[31]
2014年5月8日	nPulse Technologies	情報セキュリティー	6000万ドル	[32]
2016年1月	iSight Partners	サイバー脅威インテリジェンス	2億7500万ドル	[33]
2016年2月	Invotas	セキュリティオーケストレーション		[34]
2017年10月	The Email Laundry	電子メールのセキュリティ		[35]
2018年1月	X15 Software	マシンとログのデータ管理	1,500万ドルの株式と500万ドルの現金	[36]
2019年5月	Verodin,Inc.	セキュリティ計装	現金と株式で約2億5000万ドル	[37]
2020年1月	Cloudvisory	クラウドセキュリティ	現金1320万ドル	[38] [39]
2020年11月	Respond Software	意思決定の自動化	現金と株式で約1億8600万ドル	[40]

製品とサービス

FireEyeは当初「サンドボックス (セキュリティ)」会社としてスタートした^[41]。サンドボックスとは、受信したネットワークトラフィックを仮想マシン内で開き、ネットワークに導入する前に悪意のあるソフトウェアがないかどうかをテストすることである^[17][21]。

FireEyeの製品は、買収によって時間とともに多様化していき^[2]、2017年にはアプライアンスの販売から、サービスとしてのソフトウェア(Software-as-a-Service)モデルに移行している^[42]。

FireEyeは、ネットワーク、電子メール、エンドポイントセキュリティなどのテクノロジー製品、セキュリティ・オペレーション・センターを管理するプラットフォーム「Helix」と、ハッキングされた後の対応を行うコンサルティングサービス、脅威インテリジェンス製品などのテクノロジー製品を販売している^[43][44]。

中央管理システム(CMS)は、マルウェアセキュリティインテリジェンスの配信ハブとして機能することで、Web MPS（マルウェア保護システム）、電子メール MPS、ファイル MPS、マルウェア分析システム(MAS)の管理、レポート作成、およびデータ共有を、単一のネットワークベースのアプライアンスに統合する^[45]。

FireEye Cloudは、個々のFireEye MPSアプライアンスで検出されたダイナミック・スレット・インテリジェンス(DTI)をクラウドソース化し、このタイムセンシティブなゼロデイ・インテリジェンスを、頻繁なアップデートにより契約した顧客に自動的に配信する。コンテンツのアップデートには、DTIとFireEye Labsが研究努力によって生成したインテリジェンスを組み合わせたものが含まれる。

FireEye Cloudは、個々のFireEyeMPSアプライアンスによって検出されたDynamicThreat Intelligence（DTI）をクラウドソース化し、この時間に敏感なゼロデイインテリジェンスを、頻繁に更新されるすべてのサブスクライブされた顧客に自動的にグローバルに配布します。コンテンツの更新には、DTIとFireEyeLabsが生成したインテリジェンスの組み合わせが含まれています。

携わったセキュリティ事案

FireEyeは、著名なハッカー集団を発見することで知られている ^[2]。

2008-2014年

2009年10月から11月にかけて、FireEyeはMega-Dボットネット（通称Ozdok）の停止活動に参加した^[46]。

2011年3月16日には、マイクロソフト、連邦執行機関、ワシントン大学ワシントン大学 (ワシントン州)らと共に協力して、Rustockボットネットを停止させました^[47]。

2012年7月は、オランダ、パナマ、ロシアに設置されたGrumボットネットのコマンド＆コントロールサーバの分析に関与した^[48]。

2013年、Mandiant（FireEyeに買収される前）は、APT1と呼ばれる中国のハッカー集団による複数年にわたるスパイ活動を明らかにした^[49]。

2014年、FireEye Labsチームは、大手企業を対象とした限定的な標的型攻撃の一環として、新たに2つのゼロデイ脆弱性「CVE-2014-4148」と「CVE-2014-4113」を確認した。両ゼロデイはWindowsカーネルを悪用しており、マイクロソフトは、2014年10月のセキュリティブルテンでこの脆弱性に対処した^[50]。

2014年、「FIN4」と呼ぶ脅威グループに関する情報を提供した。FIN4は、公開企業の株価を左右するようなインサイダー情報へのアクセスという単一の目的に絞って侵入を行っていたグループで、数百社の企業を標的としており、特に、Cレベルの幹部、法律顧問、規制・リスク・コンプライアンス担当者、その他、市場を動かすような機密情報について定期的に議論するような人物の電子メールを標的としていた^[51]。

2014年、「APT28」と呼ぶ脅威グループに焦点を当てたレポートを発表した。APT28は、政府にとって最も有用な情報を収集することを目的として活動しており、具体的には、少なくとも2007年以降、APT28は、ロシア政府の利益になりそうな政府、軍隊、セキュリティ組織に関する特権的な情報を狙っていたことが分かっている^[52]。

2015年

2015年、ウクライナ、フィリピン、メキシコ、インドの4か国に広がる少なくとも14のルーター・インプラントの存在を確認した。「SYNful Knock」と呼ばれるこのインプラントは、ルーターのファームウェアイメージを密かに変更し、被害者のネットワーク内での持続性を維持するために使用できる^[53]。

2015年9月、FireEyeマルウェア保護システムの脆弱性を報告しようとしているセキュリティ研究者に対し、差し止め命令を取得した^[54]。

2015年、Microsoft Officeの脆弱性（CVE-2015-2545）と、Windowsの脆弱性（CVE-2015-2546）という、これまで知られていなかった2件の脆弱性を利用した攻撃を発見した。攻撃者は、履歴書を装ったMicrosoft Wordキュメント（.docx）内にエクスプロイトを隠し、これら2つの組み合わせにより、完全に特権のあるリモートコードが実行できてしまった。これら脆弱性はマイクロソフトによってパッチが適用された^[55]。

2015年、シンガポールのチームがAdobe Flash Playerのゼロデイ脆弱性（CVE-2015-3113）を悪用したフィッシング・キャンペーンを発見した。アドビは、この脆弱性に対するパッチを帯域外のセキュリティ速報で公開した。FireEyeはこの活動を、APT3として追跡している中国を拠点とする脅威グループによるものと考えている^[56]。

2016年

2016年1月、Android端末に広く存在する脆弱性を発見。これは、内蔵されたユーザー「radio」へのローカル特権の昇格を可能にし、攻撃者が被害者のSMSデータベースや電話の履歴を閲覧するなどの活動を行える可能性があった。FireEyeはクアルコムに連絡し、同社の製品セキュリティチームと協力してこの問題を対処した^[57]。

2016年、"VendettaBrothers"と呼ばれる2人組のサイバー犯罪者を追跡していると発表した。この進取の気性に富んだ2人は、POSシステムを侵害し、支払いカード情報を盗み、地下市場"VendettaWorld"で販売していた^[58]。

2016年半ば、バラク・オバマ前米大統領と中国の最高指導者である習近平がサイバー犯罪に関して合意。中国で活動している、または中国の国益を支援していると疑われる72のグループの活動が、アメリカやその他25カ国に対して行ったネット侵害の成功件数が全体的に減少した^[59]。

2016年、シーメンス社の制御システムのシミュレーション環境内で実行される特定の産業プロセスを操作するために作られたICSに特化した「IRONGATE」と呼ばれるマルウェアの複数のバージョンを確認したと発表した^[60]。

2016年5月8日、Adobe Flash Playerのこれまで知られていなかった脆弱性（CVE-2016-4117）を悪用した攻撃を検知し、アドビに報告。同社はわずか4日後にパッチをリリースした^[61]。

2016年、「FIN6」と呼ばれる犯罪グループの詳細を発表した。このグループは、主に接客業や小売業をターゲットとし、POSシステムにして侵入し数百万件のペイメントカード番号を盗み出し、それを地下市場で販売していた^[62]。

2017年

2017年、これまで公開されていなかった脆弱性(CVE-2017-0199)を利用した悪意のある攻撃を検知。Microsoft Office RTFのユーザーが埋め込み型エクスプロイトを含む文書を開くと、悪意のある行為者がPowerShellコマンドを含むVisual Basicスクリプトをダウンロードして実行することができた。FireEyeはマイクロソフトと情報を共有し、この脆弱性に対処するパッチをMSがリリースするまで発表のタイミングを調整した^[63]。

7月、「31337 hackers」と名乗るハッカーが、FireEyeの調査研究部門「Mandiant」に侵入し、セキュリティ研究者の氏名やプロフィールなどの個人情報や、サイバー事件の概要などを盗んだとネット上に公開した。これに対しFireEyeは、情報流出は確認したもののソーシャルメディアから漏れたもので、社内への不正アクセスは確認されていないと反論した^[64]。

2018年

2018年、Facebookが652の偽アカウントを特定するのに協力した^[65]。

2020年

12月8日、ファイア・アイは自社のシステムが「一流の攻撃能力を備えた国家」によって突き破られたことを公表した^[66]。攻撃者は「斬新な技術」を使用して、同社のレッドチームのツールキットを盗み出し、さらにこれを他の攻撃で使用する可能性があるという^[67][68]。 レッドチームとは、顧客に対してハッキング活動を行い、悪意のあるハッカーよりも先に欠陥や脆弱性を発見することを任務としているセキュリティチームである^[69]。FireEyeは同日、このツールに対する対策を発表したが^[70][71]、セキュリティ企業がハッキング被害を公表したことで、FireEyeの約35億ドル（約3645億円）と評価されている株価は7％以上も急落した^[69]。

1週間後、ソーラーウィンズのサプライチェーン攻撃を、米国をサイバー攻撃から守るための機関である国家安全保障局（NSA）に報告し、同社のツールが同じアクターによって盗まれたと発表した。NSAがFireEyeから通知を受ける前に、この攻撃を知っていたかどうかは不明である。NSAは、SolarWindsのソフトウェアを自ら使用している^[72]。

→詳細は「en:2020 United States federal government data breach」を参照

セキュリティ企業マカフィーは、盗まれたツールがアメリカ、イギリス、アイルランド、オランダ、オーストラリアなど、少なくとも19カ国で使用されたと発表した^[73]。

2021年

1月、去年12月に明らかになった自社および連邦政府機関のデータのハッキングに関する調査の中で、ハッキングはアメリカ国内から行われていたことを報告。被害を受けた施設のすぐ近くで行われたため、ハッカーはNSAの監視や国土安全保障省が使用する防御を回避することができたという^[74]。