Akamai は世界中の企業に安全で快適なデジタル体験を提供しています。Akamai のインテリジェントなエッジプラットフォームは、企業のデータセンターからクラウドプロバイダーのデータセンターまで広範に網羅し、企業とそのビジネスを高速、スマート、そしてセキュアなものにします。マルチクラウドアーキテクチャの力を拡大させる、俊敏性に優れたソリューションを活用して競争優位を確立するため、世界中のトップブランドが Akamai を利用しています。Akamai は、意思決定、アプリケーション、体験を、ユーザーの最も近くで提供すると同時に、攻撃や脅威は遠ざけます。また、エッジセキュリティ、ウェブ／モバイルパフォーマンス、エンタープライズアクセス、ビデオデリバリーによって構成される Akamai のソリューションポートフォリオは、比類のないカスタマーサービスと分析、365 日 /24 時間体制のモニタリングによって支えられています。

世界中のトップブランドが Akamai を信頼する理由について、www.akamai.com、blogs.akamai.com および Twitter

の @Akamai でご紹介しています。全事業所の連絡先情報は、www.akamai.com/locations をご覧ください。公開日：2020 年 2 月。

24 か月間の顧客データを観測した結果、Akamai の リサーチャーは、インターネットにおける攻撃パターン、

特に金融サービス組織への攻撃パターンが変化していることを 発見しました。*

全業界に影響を与える可能性のある詳しい情報と傾向については、 レポートの完全版をダウンロードしてご確認ください。

金融サービス敵対的乗っ取り攻撃

2019 年 6 月 2019 年 7 月

ゼロトラストで防御ユーザーが特定され認証が検証されるまで、

ネットワークリソースへのすべてのアクセスを遮断する

*特に指定していない限り、データは 2017 年 12 月から 2019 年 11 月までのもの

です。

［インターネットの現状］／セキュリティ

件の攻撃を観測 件の攻撃を観測

SQLi を使用 LFI を使用 その他すべて72% 19% 9%

LFI を使用 SQLi を使用 その他すべて47% 36% 17%

すべての業種

7,957,307,672 662,556,776金融サービス

犯罪者たちは、さまざまな攻撃ベクトルで金融サービスへの 攻撃を拡大

WEB 攻撃

金融サービスは他を大きく引き離し、最大の標的

ハイテク

（ギガビット／秒）

ゲーム

攻撃ベクトルの 種類

金融サービス

（パケット数／秒）

第 1 位の標的 第 2 位の標的 第 3 位の標的

63,200万 pps

2019 年における最大 pps の攻撃も銀行が標的 1 億 1,300 万 pps

重複を除いた「ユニーク」な DDoS 標的数（業種別）

1 行の銀行に対する 1 回の攻撃のピーク攻撃密度

14%42% 8%

DDoS 攻撃

160Gbps

カスタマーアイデンティティ （ID）アクセス管理（CIAM）

アイデンティティ（ID） アクセス管理（IAM）

データパスの保護

シングルサインオン（SSO）

アプリケーション セキュリティ

管理

可視性の制御

包括的なゼロトラスト・ツールキットに必要な機能：

価値の高いセキュリティインテリジェンスが掲載された最新の「インターネットの現状／セキュリティ：金融サービス — 敵対的乗っ取り攻撃」レポートを是非ダウンロードください。

金融サービス業界では攻撃の件数や複雑さが増し続けており、 金融サービス業界で成功した手法は他の業界でも利用される可能性があります。

11 [state of the internet] / security Financial Services — Hostile Takeover Attempts: Volume 6, Issue 1

Web Attacks

Credential stuffing is just one attack type that the

financial service industry faces. Criminals aren’t

choosy when it comes to methodologies, and for

the most part, they’ll try different attack types until

they’re successful. This is why a solid, multilayered

approach to defense is key to stopping them.

Within the same 24-month period used to

examine credential abuse traffic, Akamai observed

662,556,776 web application attacks against the

financial services sector and 7,957,307,672 across

all verticals. The peak attack dates in 2018 and

2019 are highlighted in Figure 5.

Figure 6 shows a breakdown of web attack types

during the 24-month observation period. Overall,

SQL Injection (SQLi) accounted for more than 72%

of all attacks when looking at all verticals during this

period. That rate is halved to 36% when looking at

financial services attacks alone. The top attack type

against the financial services sector was Local File

Inclusion (LFI), with 47% of observed traffic.

LFI attacks exploit various scripts running on

servers, usually PHP, but LFI flaws have also

been known to exist in ASP, JSP, and other web

technologies. The consequence of these attacks

is usually the disclosure of sensitive information.

However, LFI attacks can also be leveraged

for client-side command execution (such as a

vulnerable JavaScript file), which could lead to

Cross-Site Scripting (XSS) and denial-of-service

(DoS) attacks.

Taking all of this into account, criminals conducting

the LFI attacks are looking to expose data that

could enable a stronger foothold on the server,

such as exposing a configuration file with

database credentials. If the database user has

write permissions, the criminal could use the

data exposed via LFI to remotely connect to the

database and compromise the server itself by

command execution.

XSS was the third-most common type of attack

against financial services, with a recorded 50.7

million attacks, or 7.7% of the observed attack

traffic. XSS accounted for 3.3% of the attacks in all

verticals. After that, PHP Injection (PHPi) came in

at just under 16 million attempts against financial

services. Finally, Command Injection, Remote

File Inclusion, OGNL Injection, and malicious file

uploads rounded out the final 5.7% of recorded

attacks against financial services.

Between 2018 and 2019, the most

common attack type against the financial

sector was Local File Inclusion (LFI).

12

Oct 17, 201950,350,787

Nov 22, 201942,248,675

Nov 22, 201840,376,035

Dec 23, 201823,771,753

Oct 28, 201913,491,776

0 M

10 M

20 M

30 M

40 M

50 M

Jan 2018 Mar 2018 May 2018 Jul 2018 Sep 2018 Nov 2018 Jan 2019 Mar 2019 May 2019 Jul 2019 Sep 2019 Nov 2019

Web

att

acks

(mill

ions

)

Vertical Other FinServFig. 5 – While the single-day peaks in attacks are concerning for individual organizations, the continued growth in web attacks

affects all organizations

FinancialServices

AllVerticals

0%10%

20%30%

40%50%

60%70%

80%90% 100%

% Attacks

Ver

tica

l

Attack Vector SQLi LFI XSS PHPi RFI CMDi Other

Fig. 6 – LFI was the top financial services attack type, but SQLi continues to dominate when looking at all verticals

Daily Web Application AttacksFinancial Services and Other

Web Application Attack VectorsDecember 2017 through November 2019

[state of the internet] / securityVolume 6, Issue 1

Financial Services — Hostile Takeover Attempts

今すぐダウンロード

CREDENTIAL STUFFING

74%依然として、従来のユーザー名／パスワード によるログインを使用しているアプリ ケーションやサービスの割合

平均

すべての業種 金融サービス

平均ピーク ピーク

API を標的とした悪性ログインの割合

19% 10%50% 88%

API 標的API を標的とした Credential Stuffing 攻撃は、

金融サービス業界に集中

Akamai が API エンドポイントを特定した方法について詳しくは、 レポートの完全版をご覧ください。