金融サービス 2021 前半レポート:Web アプリ攻撃は 38% 増大

Financial Services: Web Application Attacks Grow by 38% In First Half of 2021

2021/08/19 SecurityBoulevard — 前世紀の中頃、プロの銀行強盗である Willie Sutton は、推定で $2 million の盗みを働いたとされる。ある新聞記者が、Sutton に銀行を狙う理由を尋ねたところ、「そこに金があるから」と答えたらしい。その後のインタビューで、この言葉は否定されているが、いまの金融業界にも当てはまるものだ。昔ながらの銀行強盗も起こるだろうが、現実の銀行から金を盗むことは、前世紀的なアプローチだといえる。今日、サイバー犯罪者が狙っているのは個人情報であり、攻撃対象となるのは顧客や従業員やパートナーが使用する、多岐にわたるオンライン取引 Web アプリケーションである。

依然として、金融機関は金のあるところなのは、間違いのない話である。金融機関は、最も侵入された分野という不名誉な称号を持ち、データ漏えいの 35% を占めている。サイバー犯罪者にとって嬉しいことに、COVID-19 の流行により、オンライン・バンキングが大幅に増加し、機密性の高い顧客データが劇的に増加したことで、盗み出せるチャンスが広がっている。Imperva の調査では、このような現実により、金融サービス分野における脅威の状況が、その変化の状況が明らかにされている。Imperva Research Labs によると、COVID-19 のパンデミックが 2021年まで長引く中、2021年1月〜5月の間で、金融サービス部門への Web アプリケーション攻撃が 38% 増加したとされる。

金融サービスにおけるセキュリティ脅威 Top-5

機密データの漏えい

金融サービス分野におけるオンライン・バンキングの急増と広範なデジタル化により、ほとんどの組織にとって大量かつ複雑なデータを管理する必要が生じている。それに加えて、データ・プライバシー法の厳格化が見込まれることから、機密データの保護はかつてない課題となっている。この業界の変化の速さにより、すべてのデータ・ストアに適用されているセキュリティ管理が危うくなり、数多くの金融サービス企業はデータ侵害のリスクと脆弱性の増大にさらされている。そのことを、サイバー犯罪者は知っている。機密データへの攻撃は、驚くべき速さで拡大している。Imperva Research Labs の報告によると、2021年1月だけで 8億7,000万件以上の記録が侵害されている。これは、2017年を通じて侵害された年間の記録よりも多い。

DDoS 攻撃

Layer 7 (アプリケーション層) における DDoS 攻撃は、インターネット・プロトコル上の接続を円滑にする、OSI モデルの最上位層 (アプリケーション層) を標的とする。その目的は、サーバーが応答できなくなるまで、接続要求という形で大量のトラフィックをサーバーに流し込み、サーバーのリソースを圧倒することにある。1秒あたりのリクエスト数 (RPS : Requests per Second) が多いほど、攻撃は激しくなる。Digital Banking Report では、「銀行業務における顧客エクスペリエンスの向上」を金融サービス事業者の最初の目標とすべきたとしている。顧客エクスペリエンスを低下させる攻撃に対して、その緩和策に投資しているところは、推薦率が高くない、ウォレット・シェアも大きくなり、既存の顧客に商品やサービスを up-sell または cross-sell する可能性も高くなる。その一方で、オンライン・バンキング・サービスへのアクセスが拒否された場合には、顧客の反応は憤りに満ちたものとなる。その結果として、顧客はソーシャルメディア・プラットフォーム上で不満を漏らし、別のプロバイダーに乗り換え、銀行のブランドを傷つけることが多々ある。Imperva Research Labs の調査によると、金融サービスを標的とした Layer 7 の DDoS 攻撃におけるリクエスト数 (RPS) は、2021年4月以降で3倍に増加している。

RDoS の脅威

2020年の後半に Imperva は、数千にもおよぶ世界の大規模な商業組織 (金融サービスの多くを含む) を標的とした、深刻な Ransom Denial of Service (RDoS) の脅威の数が、大幅に増加していることを指摘した。RDoS キャンペーンとは、金銭的利益を動機とした恐喝ベースの DDoS のことである。恐喝者からの恐喝メールでは、有名な脅威アクター・グループの名前が利用されており、ターゲットのネットワークへの DDoS 攻撃を止めるために、Bitcoin での支払いを要求するというパターンである。2021年の前半6ヶ月間で、Imperva Research Labs は、これらの脅威が増加していることに気づいた。今年の攻撃パターンは、以下のようなものであり、2020年と極めて類似している。

1. 恐喝者が電子メールを送信し、時にはサンプル攻撃 (短時間のオフライン) 行う。
2. ターゲット に対して、1週間以内に支払いを済ませるよう通知する。
3. 恐喝者は、予定された時間に大規模な攻撃を行うと脅す。

クライアント・サイド攻撃

クライアントサイド攻撃は、対象となる Web サイトのユーザーが悪意のコンテンツをダウンロードすることで、悪意の行為者による、ユーザー・セッションの傍受や、敵対的なコンテンツの挿入、フィッシング攻撃などが生じ、最終的には Web サイトの悪用を許してしまう攻撃である。金融サービスにおけるこの種の攻撃では、さまざまな業界の Web サイト攻撃で使用されている、サードパーティ・スクリプトを悪用して決済情報を盗み出すことに焦点が当てられる。金融機関の Web サイトは、より良いサービスを顧客に提供するために、サードパーティ・スクリプトへの依存度を高めている。その一方で、金融資産などの機密データを処理するデジタル・トランザクションが多いため、クライアント・サイド攻撃における恰好の標的となっている。たとえば、クレジット・カード情報が盗まれると、サイバー犯罪者による商品購入に悪用され、また、他の犯罪者に売却された後に悪用される可能性がある。いずれにしても、重大なリスクがもたらされる。消費者と金融サービス提供者が気づくのは、手遅れになってからとなる。

サプライチェーン攻撃

1999年以来、CVE (Common Vulnerabilities and Exposures) システムにより、一般的に使用されるアプリケーションやコンポーネントに存在する、ゼロデイ脆弱性を紐付けされた CVE は 15万件ほど報告されている。そのうちの 11,500件以上が、深刻度の高い脆弱性とされているが、ソフトウェアの脆弱性の大部分は報告されないとも言われている。すべての金融サービスの Front-to-Back 処理は、バックオフィスや、ミドルオフィス、リスクマネジメント、ビジネスデベロッパー、財務、情シスなどが関与する、複雑なソフトウェア・アプリケーションのセットとして統合されている。そして API は、これらのアプリケーションの中核であり、また、アプリケーション同士の通信を可能にしている。API は、その実装や内部構造などの情報を、自己文書化していることが多く、ソフトウェアのサプライチェーンを攻撃するためのインテリジェンスとして悪用されることがある。また、脆弱な認証や、暗号化の欠如、ビジネス・ロジックの欠陥、不適切なエンドポイントなどの追加要因により、さらに API は攻撃を受けやすくなっている。金融機関が他業種と提携して、サービスの受け渡しを行うと、サプライチェーンの攻撃対象が拡大し、攻撃リスクが高まる。

保護が不十分なサプライチェーンにより、アプリケーションや API の脆弱性がビジネスに侵入することで、その組織は、弱点を熟知しているサイバー犯罪者にとって、格好の標的となる。最近では、エンタープライズ・ソフトウェアの大半がプロプライエタリではないため、企業で使用される各種のソフトウェアを悪用する方法を、脅威アクターたちは容易に見つけ出す。2020年末に発生した Sunburst 攻撃や、それに続く攻撃により、組織内におけるサプライチェーン・セキュリティの優先度は高まったと思われすが、現実はそうはなっていない。そのため、規制機関は、この問題に狙いを定めている。これを裏付けるかのように、シンガポール金融庁や米国の FFIEC (Federal Financial Institutions Examinations Council) などの金融サービス規制機関は、サプライチェーンの回復力を訴える、新たなガイダンスを発表している。さらに、2021年4月には、CISA (The Cybersecurity and Infrastructure Security Agency) と NIST (National Institute for Standards and Technology) が、各種のソフトウェア・サプライチェーン・リスクに対して、新しいガイドラインを発表した。

どのようなデータが盗まれているのだろうか?

Imperva Research Labs によると、過去数年間に盗まれたデータの 74% は個人情報である。これは一般的に、単独で使用することで、または、他の情報と組み合わせて使用することで、一人の人間に対する識別/特定/連絡を可能にする情報、あるいは、コンテキストの中で個人の識別を可能にする情報だと定義される。個人データの盗難が広まっている背景として、個人データを保護するための防御策が、多くの組織おいて講じられていない点が挙げられる。多くの場合、金融機関の個人データは、トランザクションの完了を目的として、システム/人/サプライヤーの間で定期的に共有されるため、容易に窃取されてしまう。データ・プライバシーに関する規制が厳しくなったことで、すべての組織にとって必要とされるのは、データ資産全体の中から個人データを発見/識別/分類する能力となる。どこに個人データがホストされているのか、また、どのようなアプリケーションやユーザーにアクセスされるのかを把握して初めて、個人データを保護するためのセキュリティ管理を拡張することが可能となる。

組織のリスクを軽減するためにできること

簡単に言うと、「まずデータを確実に視認できるようにし、その後に、データおよび、それにつながる全経路を保護する」ということだ。これは、ビジネスに不可欠なトラフィックの流れに影響を与えることなく、組織の Web サイトや、Mobile アプリ、API などを、自動化された攻撃から守ることを意味する。また、ネットワークの外側からの、DDoS 注入やアカウント乗取りからも守らなければならない。つまり、WAF や、ボット管理、ランタイムと AP Iの保護などを備えた完全な多層防御機能を、ビジネス・アプリケーションに対して提供することを意味する。最も重要なことは、機密性の高い個人データを発見/タグ付けし、データをリッチ化/相関させ、脅威に対する防御と緩和のための、正確な行動分析を提供する能力を持つことだ。それにより、オンプレミスもしくはクラウドにあるデータであっても、カレントもしくはアーカイブのデータであっても、すべてのデータに対するセキュリティ管理の拡張を自動化することが可能になる。したがって、すべてのデータソースに対する継続的なコンプライアンス報告や、ガバナンスとセキュリティの確保が実現される。

Financial Services: Web Application Attacks Grow by 38% In First Half of 2021

人々の資産を預かって守るのが銀行なら、一攫千金を狙う犯罪者が標的にするのも銀行ですよね。ただ、脅威 Top-5 を眺めてみると、これといって特殊性を感じないのもたしかです、やはり、API が注目を浴びています。そして、ひとつ気になるのが「多くの場合、金融機関の個人データは、トランザクションの完了を目的として、システム/人/サプライヤーの間で定期的に共有されるため、容易に窃取されてしまう」という部分ですが、犯罪者にもデータが移動する時刻が予測できてしまうという弱点は、なんとなく理解できます。最近の関連情報としては、「Chase Bank の障害により顧客間でのデータ参照が可能になってしまった」や、「Morgan Stanley のサードパーティ Accellion にデータ侵害が発生」などがありますので、よろしければ ど〜ぞ。

%d bloggers like this: