高まる波に注意:攻撃のうねりに揉まれる金融サービス
金融サービス業界は世界経済の基盤であり、成長と発展を支えています。しかしながら、きわめて重要であるがゆえに攻撃者から第一の標的として狙われています。攻撃を仕掛けてくるのは、金銭的な利益の要求を主目的とした ランサムウェア グループ(例: CL0P、 LockBit)や、政治的な影響力を持つ可能性のある金融機関の活動妨害をもくろむハクティビスト (例: BlackCat(ALPHV)、 REvil)などです。攻撃の影響は広範囲に及ぶこともあり、グローバルな金融システムにおける信頼を損なう可能性があります。
こうした現状を背景に、金融サービス業界に対する攻撃はますます増加しており、その対象は銀行や決済処理業者から投資会社、金融テクノロジー(フィンテック)企業まで多岐にわたります。
Akamai による最新のインターネットの現状(SOTI)レポート「 高まる波を乗りこなす:金融サービス業界の攻撃トレンド」では、こうした脅威の状況について説明し、金融サービス業界の組織が自社を守るためにできることについて明らかにしています。レポートに記載されている主な調査結果は次のとおりです。
金融サービスは、レイヤー 3 および 4 の 分散サービス妨害(DDoS) 攻撃において最も多く標的にされた業界でした。イスラエルとハマスの紛争、ロシアとウクライナの戦争といった地政学的緊張により、ハクティビストの活動が急増しています。
デジタルサービスと API、特に文書化されていないシャドウ API の利用増加がアタックサーフェスの拡大を招き、金融機関ではレイヤー 7 DDoS 攻撃に対する脆弱性が高まっています。
金融サービス業界は、フィッシングやブランドなりすましといったスキームの最大の標的となっています。フィッシングサイトは、金融機関になりすました疑わしいドメインの 68% を占め、アイデンティティ窃取やアカウント悪用の増加を引き起こしています。
DDoS 攻撃の主要な標的
金融サービス業界は 2 年連続で、 レイヤー 3 およびレイヤー 4(ネットワーク層とトランスポート層。図 1)を標的とする DDoS 攻撃の件数で他の業界を大きく引き離しています。
Fig. 1: Financial services experiences the highest volume of Layers 3 and 4 DDoS attacks
地政学的緊張とその結果生じるハクティビスト活動は、DDoS 急増における主要な要因となっています。たとえば、ウクライナと関係のある欧州の銀行には攻撃が集中しており、これを開始したのは親ロシアの攻撃者だと推定されます。
また、最近では中東の金融機関に対しても DDoS ハクティビズムの攻撃が激化するとともに、レイヤー7 への DDoS 攻撃も増加しています。増加を後押しするもう 1 つの要因は、仮想マシン(VM)ボットネットをはじめとする技術の進歩であり、これが DDoS 攻撃者の能力を大幅に向上させています。
さらに、デジタルサービスや API の利用増加に伴いアタックサーフェスが拡大しており、攻撃者が悪用できる脆弱性が増えています。特に懸念されるのは文書化されていないシャドウ API であり、こうした API への保護は往々にして不十分です。また、金融サービス機関は進化するコンプライアンス要件と規制要件を満たすために API を導入しており、こうした潜在的なエントリーポイントを保護する作業がさらに複雑になります。
頻度と強度が一致するとは限らない
金融サービスに対する DDoS 攻撃に関する調査から、重要な知見を得ることができました。それは、イベントの頻度と攻撃の強度が必ずしも相関するとは限らないということです。攻撃がほとんど見られなかった期間が数か月ありましたが、その期間の Gbps データはトラフィックの急増を示しています。これは、DDoS 攻撃を評価する際には攻撃の頻度と規模の両方を考慮する必要があることを強調しています。
ブランドの悪用とブランドのなりすまし
金融サービス業界ではブランドの悪用が増加しており、たとえば フィッシング やなりすましといったスキームは金融機関と顧客の信頼関係を悪用しようと狙っています。調査によると、驚くべきことに、ページ訪問者の 30% がフィッシングサイトやブランドなりすましサイトに誘導されていることが判明しました。Akamai が監視している疑わしいサイトの数から考えて、金融サービスは最もなりすましの多い業界と言えます。
サービスプラットフォームやツールキットとしてのフィッシングの出現により、サイバー犯罪者が侵入する際の障壁が低くなり、金融サービスやその顧客に対するフィッシング攻撃の規模が拡大して深刻化しました。実際、2023 年 8 月から 2024 年 7 月までに特定されたフィッシングページの 68% が、金融機関とその顧客を標的としています(図 2)。
Fig. 2: 68% of the suspicious domains we recorded for financial services are phishing pages, which is more than in all other industries combined
ブランドの悪用は、アイデンティティ窃取やアカウント悪用など、さまざまな犯罪行為を引き起こす可能性があります。組織は、評判の失墜、コンプライアンスや法律上の問題、さらには偽造品に起因する売上損失などにより、多額の財務上の損失を被るかもしれません。正規の金融機関を模倣した詐欺的な Web サイトの恐ろしいほどの多さと、元のサイトがオフラインになった後に攻撃者が新しいドメインを作成するスピードが特に懸念されます。
コンプライアンスと耐障害性
SOTI レポートにコラムを寄稿した Financial Services Information Sharing and Analysis Center (FS-ISAC)の Global Head of Intelligence、Teresa Walsh 氏は、現在の脅威に直面したときに必要になるのは、強化されたコンプライアンスと運用の耐障害性であると強調しています。新しい規制、たとえば デジタル・オペレーショナル・レジリエンス法(DORA)や更新された SEC ガイドラインなどによって、金融サービスではサイバーセキュリティに対する包括的なアプローチの必要性が高まっています。その中で求められるのは、重大なリスクを特定して優先順位を付け、その結果を組織のリスク管理フレームワークに組み込み、堅固なインシデント対応計画を確実に策定することです。
Walsh 氏は、脅威の状況がますます不安定になる中で事業の耐障害性を確保し、顧客の信頼を維持するためには、プロアクティブな姿勢がきわめて重要であると指摘しています。
高まる脅威に対抗する
増加するサイバー脅威から金融機関を保護するためには、多面的なアプローチが不可欠です。今回の SOTI レポートでは、フィッシングやブランドのなりすまし、DDoS 攻撃、ランサムウェアによるリスクを軽減するための実用的なヒントについて考察しています。
また、本レポートでは ゼロトラスト ・フレームワークを実装して、耐障害性を備えたセキュリティ体制を維持することの重要性も強調しています。このアプローチは、いかなる接続要求、ユーザー、デバイスも脅威である可能性があるという原則に基づいて機能します。暗黙の信頼を排除し、継続的な検証を実施することで、認証および許可されていない場合はデフォルトでリソースへのアクセスを拒否します。さらに、ゼロトラストはセグメンテーションとマイクロセグメンテーションによってインフラ内のラテラルムーブメント(横方向の移動)を防止し、攻撃の影響を受ける範囲を狭めて機微な情報を保護します。
脅威を理解することが最初のステップ
金融サービス業界において顧客とのやりとりをデジタル化する流れは加速する一方であり、こうしたやりとりを悪用しようとするサイバー脅威もまた、増加していきます。 効果的な緩和戦略を実施することは、金融機関とその顧客の保護だけでなく、規制へのコンプライアンス維持のためにもきわめて重要です。脅威の性質と範囲を完全に理解することは、増加するサイバー脅威に対処するうえで欠かせないステップです。
詳細を見る
この調査の全文は、最新のインターネットの現状(SOTI)レポート、「 高まる波を乗りこなす:金融サービス業界の攻撃トレンド」をご覧ください。
