差し迫る敵： 金融サービスに対する攻撃の分析

金融サービスは、サイバー犯罪の標的になりやすい業界の 1 つです。Zeus などのバンキング型トロイの木馬の全盛期から、分散型サービス妨害（DDoS）攻撃 （DDoS）攻撃、最新のフィッシング攻撃、ランサムウェアに至るまで、さまざまな攻撃を受けてきました。金融サービスは、人々の生活だけでなく、世界 経済においても大きな役割を果たしている重要分野です。 

金融サービスの中断やダウンタイムは重大な影響を及ぼします。また金融機関が保有する機微な情報は高価値商品に変わる可能性があります。そのため、攻撃者は金融サービスを利益の出やすい標的と見なし、新たに発見された ゼロデイ 脆弱性から、効果が実証されているフィッシング攻撃まで、幅広い攻撃を仕掛けているのです。 

激増するサイバー攻撃

サイバー攻撃者が金融サービス業界を集中的かつ意欲的に攻撃していることは周知の事実です。これまで、金融サービスのインターネットの現状（SOTI）に関するレポートではフィッシングや詐欺などを取り上げてきましたが、今回は範囲を広げ、このような頻繁に攻撃を受けている業界に影響を与える多くの問題を取り上げます。

視野を広げたことにより、金融サービス業界への攻撃数が大幅に増加していることや、新たに発見されたゼロデイ脆弱性が驚くほどの速さで攻撃者に普及していることを把握できました。 

金融サービス機関の顧客も安心してはいられません。攻撃者の多くは、 世界で最もセキュリティが厳格な業界への攻撃を諦め、代わりにその利用者を一斉攻撃することを選択しています。 

SOTI レポートの重要ポイント 

敵が目前まで迫っている現在、金融サービス機関のセキュリティ担当者にとって重要なのは、変化する脅威の状況を把握することです。Akamai のレポートでは、次のような点を重要ポイントとして挙げています。 

• 金融サービス業界は、Web アプリケーション攻撃と API 攻撃、ゼロデイ攻撃、DDoS 攻撃の標的となっている上位 3 業種に常に入っている。 

• 金融サービスへの Web アプリおよび API 攻撃は前年比 3.5 倍に急増。主要な業界で最大の増加。

• 新たに発見されたゼロデイ脆弱性が金融サービス業界で悪用されると、1 時間あたりの攻撃回数が 24 時間以内に数千回に到達し、急速にピークに達する可能性がある。パッチの適用や対応にかける時間はほとんどない。

• ローカル・ファイル・インクルージョン（LFI）攻撃とクロスサイトスクリプティング（XSS）攻撃の大幅な増加は、攻撃者が、社内ネットワークのセキュリティに大きな負荷をかけるリモートコード実行に移行していることを示している。

• 金融サービス利用者の悪用が増加。金融サービスの攻撃者の 80% 以上が、組織そのものではなく顧客のアカウントに焦点を当て、直接またはフィッシングなどを通じた攻撃を仕掛けている。

• フィッシングキャンペーン（Kr3pto など）では、ワンタイム・パスワード・トークンやプッシュ通知を使用し、二要素認証ソリューションを回避する手法が導入されている。

拡大する脅威サーフェスの把握

Web アプリケーションおよび API 攻撃は、過去 12 か月間に 257% 増加しています。このような攻撃の急増は、LFI や XSS など、複数の攻撃ベクトルに起因していると考えられます。攻撃者がこのような攻撃ベクトルを、ネットワーク内での足がかりの獲得や、効果的な偵察の手段として使用する可能性があるためです。 

また、標的組織への侵入口として Web アプリの脆弱性が使用される可能性があるため、Web アプリのセキュリティ確保もますます重要となっています。これは、ネットワーク侵入テストの効果を高めようとしているチームにとっても重要です。

ゼロデイ脆弱性への対処

当社の調査結果によると、金融サービスは新たな脆弱性が発見された場合（ゼロデイ）、最初に攻撃される業界の 1 つです。新たな脆弱性の悪用は、Confluence の脆弱性の場合（CVE-2022-26134）と同様に、発覚後 24 時間以内に始まり、急速にピークに達する可能性があります。そのため、攻撃者が悪用して攻撃が始まる前に、こうしたセキュリティの欠陥に対処できるかどうかは時間との戦いになります。 

また、当社の調査結果は、金融サービス業界（世界で 2 番目に DDoS 攻撃の多い業界）にとって DDoS が依然として懸念材料であることも示唆しています。DDoS 攻撃の被害が大きければ、企業は孤島のようにインターネットから遮断されます。顧客はアカウントにアクセスできなくなり、ダウンタイムや業務の中断が生じます。このような攻撃からの復旧は組織に経済的な損失をもたらす可能性があります。 

今年はこれまでのところ、金融サービス業界への DDoS 攻撃は横ばい状態ですが、「地域的なシフト」がみられます。米国への DDoS 攻撃は減少傾向にある一方、EMEA への攻撃は、全体の件数から見ると少ないものの、攻撃ボリュームは増加しています。 

標的になりやすい金融サービス利用者 

攻撃者を調査したところ、その 80% 以上が、金融機関ではなくその顧客を直接的または間接的に攻撃対象にしていることが明らかになりました。これは、 アカウントの乗っ取り （ATO）と Web スクレイピング攻撃の両方に起因すると思われます。 

アカウント乗っ取りは顧客を直接狙う攻撃ですが、Web サイトスクレイピング攻撃は主としてフィッシング詐欺や、実際の Web サイトに酷似したキットを作るために使用されます。この点の裏付けとして、ATO と Web スクレイピング関連の攻撃によるボットネット活動も件数が増えています（81% の増加）。 

金融サービス業界がどのように標的になっているのか、顧客がどのように攻撃されているのか、また、どのような種類の攻撃が使用されているのかを把握することで、組織のデータ、ネットワーク、顧客のセキュリティ確保につながります。この情報を参考に、プログラムを見直してリスクの再評価が必要な領域を確認したり、脅威インテリジェンスチームや業務執行チームへの情報提供を行うことをお勧めします。