金融サービスにおける 7 つの重要ポイント - 最近の調査から
Akamai は、約 10 年前にプラットフォームにサイバーセキュリティ制御を追加して以来、 インターネットの現状(SOTI)レポート を発行してきました。これまで、このレポートではフィッシング攻撃や API 攻撃など、1 つのトピックについて考察してきました。
今回は範囲を拡げて、金融サービス業界に影響を及ぼすさまざまな問題について取り上げます。特に、 Web アプリケーションおよび API 攻撃、 ゼロデイ 脅威、 アカウントの乗っ取り (ATO)、フィッシングの傾向などについて詳しく考察します。
7 つの重要な知見
この調査では 7 つの重要な傾向が明らかとなりました。それらは次のとおりです。
- 金融サービス業界は、フィッシングで 1 位、DDoS 攻撃で 2 位、Web アプリケーションと API への攻撃で 3 位となっています。
- 金融機関に対する分散型サービス妨害(DDoS)攻撃は、前年比の件数では大きな変化はありませんが、攻撃地域が移行しつつあり、EMEA に対する攻撃が 73% に増加しました。
- 金融サービス業界では Web アプリケーションと API への攻撃が 3.5 倍に急増し、最も大きな伸びを示しています。
- Atlassian Confluence RCE 脆弱性(CVE-2022-26134)などの新たな脆弱性の悪用は、開示後 24 時間以内に始まり、すぐにピークに達します。
- 攻撃者は顧客関連の ATO や Web スクレイピング関連の攻撃に集中しています。この傾向は、金融機関に対するボット活動が 81% 増大したことからも明らかです。
- フィッシング攻撃の標的は、ビジネスアカウントよりも消費者(80.7%)の方が多くなっています。ダークウェブでは、侵害された消費者アカウントの需要が高く、これらは詐欺関連の攻撃に利用されています。
- フィッシングキャンペーン( Kr3ptoなど)では、ワンタイム・パスワード・トークンやプッシュ通知による 2 要素認証(2FA)ソリューションを回避するテクニックが使用されています。
これらの傾向をどのように活かすか
ここでは各知見についてさらに深く掘り下げ、これらの傾向に関連する脅威の現状に対応するために、とるべき最善策を検討します。
1.金融サービス業界はフィッシングで第 1 位
同業他社や業界全体と比較した際の自社の状況について上司と話します。シニアリーダーや取締役は、他の企業やセクターとの比較を求めることが多いので、攻撃スペクトラムにおける自社の位置を示す良い機会となります。
2.金融機関に対する DDoS 攻撃件数は一定している
脅威の状況や、欧州連合の Digital Operational Resilience Act(DORA)などの規制の変化を踏まえてリスクプロファイルを再評価します。脅威状況の変化に応じて、リスク選好やリスクの受容についての判断を検証することが重要です。大きなイベント後や変化のあとのほか、少なくとも年に 1 回は検証する必要があります。
3.金融サービス業界では、Web アプリケーションと API への攻撃が最も大きく伸びている
アタックサーフェスとリスクに晒される可能性の把握は緩和計画の策定に役立ちます。常に高い投資効果をもたらす方策が 2 つあります。それは、(1)状況認識の向上と、(2)アタックサーフェスの最小化です。マトリックス型環境の場合は、内部と外部の両方に関して、この 2 つを考慮する必要があります。
従業員に対するサイバーセキュリティトレーニングを実施し、地域に応じてサイバーセキュリティに対する意識を高めることを検討します。今回の SOTI レポートでは、アジア太平洋・日本地域で Web アプリケーションと API への攻撃が 449% も急増していることがわかりました。これは、この地域におけるサイバー攻撃件数の増加を反映しています。
最近の調査 によると、アジア地域のリーダーの 50% 以上が、従業員は必要なサイバートレーニングや知識を得られていないと考えています。従業員への知識の提供は、こうした攻撃に対して最前線で戦うために不可欠な要素であると Akamai は考えます。
4.新たな脆弱性の悪用は、開示後 24 時間以内に始まり、すぐにピークに達する可能性がある
ゼロデイ攻撃に対処する危機管理計画を社内およびサードパーティとともに、準備します。危機管理計画は、製品、プロトコル、脅威、またはハードウェア脆弱性など、種類に応じて策定する必要があります。新たな脅威の種類ごとにプレイブックを作成したら、定期的に演習を実施して内容を検証し、改善することも必要です。これらの手順は、次のゼロデイ攻撃時に労力と混乱を最小限に抑えるために役立ちます。
パッチによって脆弱性が修正されるまでの間に機能する緩和手法、たとえばアプリケーションと API の保護、Web アプリケーションファイアウォール、マイクロセグメンテーションなどについても評価してください。
5.攻撃者は顧客関連の ATO および Web スクレイピング関連の攻撃に集中している
攻撃が実施可能になる速さや脅威の試行ボリュームなどの要因に基づいてプレイブックを更新し、脅威トリガーやその緩和に必要なツールについての想定をテストします。 攻撃の高速化や消費リソースの増大に伴い、必要に応じてプロセスを再確認し更新することが重要です。
6.フィッシング攻撃では、ビジネスアカウントよりも消費者が標的とされる場合が多い
自社のみでなく、自社の顧客とそのアクセスも保護されているかどうかを把握します。これについては、インシデント対応プログラムに明記する必要があります。一般的に、セキュリティ・オペレーション・センターや脅威インテリジェンスチームは社内のことに集中する傾向があります。
不正対策チームやその他のチームと協力することは、従業員だけでなく顧客も保護するうえで役立ちます。優れた顧客体験を提供してアクセス性とセキュリティを高めることが重要です。
7.フィッシングキャンペーンには 2 要素認証ソリューションを回避する手法が使用されている
セキュリティツール要件の基準として、Fast Identity Online v2(FIDO2)標準を追加することを検討します。多くの企業が多要素認証または 2 要素認証を導入していますが、脅威の状況を定期的に見直して既存のソリューションがリーダーのリスク選好に対応しているかどうかを確認することが重要です。
この点に関しても、Akamai は、サイバーキルチェーン、MITRE ATT&CK フレームワーク、NIST 800-207 ゼロトラスト・アーキテクチャなど、業界のベストプラクティスやプロセスの採用をサポートしています。
5 つの攻撃カテゴリー
それでは、攻撃手法について詳しく見ていきましょう。当社の 2022 年 Web アプリケーションおよび API 脅威レポートでは、Akamai が把握していた 3 種類の攻撃キャンペーン(持続型、短時間バースト、ビッグバン)について取り上げました。今回は、Client Reputation で追跡されている Akamai システムで個々の攻撃者について観察した結果を共有します。次に示す 5 つの基本的な攻撃カテゴリーが観察されました。
- 42% - アカウントの乗っ取り(不正行為に基づく攻撃)
- 39% - Web スクレイパー(情報収集攻撃)
- 7% - スキャンツール
- 6% - Web 攻撃者
- 6% - サービス妨害
最後の 3 つは、全体量は少ないものの、依然として危険性が高く、各企業に甚大な影響を及ぼす可能性があります。
これらのカテゴリーを踏まえて脅威環境の評価と分析について検討し、各カテゴリーに対応するための準備状況を確認することが重要です。この作業は、何に対して防御しようとしているのかを上司に簡潔に説明する手段として役立つ場合もあります。
まとめ
金融サービス業界のサイバーセキュリティプログラムは世界で最も成熟していますが、サイバー犯罪者は常に新たな手法の開発や古い攻撃の再活性化を模索しています。このレポートでは、さまざまな脅威について取り上げ、計画のリスクを再評価するためのベストプラクティスや、脅威インテリジェンスチームや業務執行チームに役立つ知見を提供しています。
今後も最新の Akamai リサーチにご注目ください。Akamai の Security Hubでご確認いただけます。
