Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Akamai は世界中の企業に安全で快適なデジタル体験を提供しています。Akamai のインテリジェントなエッジプラットフォームは、企業のデータセンターからクラウドプロバイダーのデータセンターまで広範に網羅し、企業とそのビジネスを高速、スマート、そしてセキュアなものにします。マルチクラウドアーキテクチャの力を拡大させる、俊敏性に優れたソリューションを活用して競争優位を確立するため、世界中のトップブランドが Akamai を利用しています。Akamai は、意思決定、アプリケーション、体験を、ユーザーの最も近くで提供すると同時に、攻撃や脅威は遠ざけます。また、エッジセキュリティ、ウェブ/モバイルパフォーマンス、エンタープライズアクセス、ビデオデリバリーによって構成される Akamai のソリューションポートフォリオは、比類のないカスタマーサービスと分析、365 日 /24 時間体制のモニタリングによって支えられています。
世界中のトップブランドが Akamai を信頼する理由について、www.akamai.com、blogs.akamai.com および Twitter
の @Akamai でご紹介しています。全事業所の連絡先情報は、www.akamai.com/locations をご覧ください。公開日:2020 年 2 月。
24 か月間の顧客データを観測した結果、Akamai の リサーチャーは、インターネットにおける攻撃パターン、
特に金融サービス組織への攻撃パターンが変化していることを 発見しました。*
全業界に影響を与える可能性のある詳しい情報と傾向については、 レポートの完全版をダウンロードしてご確認ください。
金融サービス敵対的乗っ取り攻撃
2019 年 6 月 2019 年 7 月
ゼロトラストで防御ユーザーが特定され認証が検証されるまで、
ネットワークリソースへのすべてのアクセスを遮断する
*特に指定していない限り、データは 2017 年 12 月から 2019 年 11 月までのもの
です。
[インターネットの現状]/セキュリティ
件の攻撃を観測 件の攻撃を観測
SQLi を使用 LFI を使用 その他すべて72% 19% 9%
LFI を使用 SQLi を使用 その他すべて47% 36% 17%
すべての業種
7,957,307,672 662,556,776金融サービス
犯罪者たちは、さまざまな攻撃ベクトルで金融サービスへの 攻撃を拡大
WEB 攻撃
金融サービスは他を大きく引き離し、最大の標的
ハイテク
(ギガビット/秒)
ゲーム
攻撃ベクトルの 種類
金融サービス
(パケット数/秒)
第 1 位の標的 第 2 位の標的 第 3 位の標的
63,200万 pps
2019 年における最大 pps の攻撃も銀行が標的 1 億 1,300 万 pps
重複を除いた「ユニーク」な DDoS 標的数(業種別)
1 行の銀行に対する 1 回の攻撃のピーク攻撃密度
14%42% 8%
DDoS 攻撃
160Gbps
カスタマーアイデンティティ (ID)アクセス管理(CIAM)
アイデンティティ(ID) アクセス管理(IAM)
データパスの保護
シングルサインオン(SSO)
アプリケーション セキュリティ
管理
可視性の制御
包括的なゼロトラスト・ツールキットに必要な機能:
価値の高いセキュリティインテリジェンスが掲載された最新の「インターネットの現状/セキュリティ:金融サービス — 敵対的乗っ取り攻撃」レポートを是非ダウンロードください。
金融サービス業界では攻撃の件数や複雑さが増し続けており、 金融サービス業界で成功した手法は他の業界でも利用される可能性があります。
11 [state of the internet] / security Financial Services — Hostile Takeover Attempts: Volume 6, Issue 1
Web Attacks
Credential stuffing is just one attack type that the
financial service industry faces. Criminals aren’t
choosy when it comes to methodologies, and for
the most part, they’ll try different attack types until
they’re successful. This is why a solid, multilayered
approach to defense is key to stopping them.
Within the same 24-month period used to
examine credential abuse traffic, Akamai observed
662,556,776 web application attacks against the
financial services sector and 7,957,307,672 across
all verticals. The peak attack dates in 2018 and
2019 are highlighted in Figure 5.
Figure 6 shows a breakdown of web attack types
during the 24-month observation period. Overall,
SQL Injection (SQLi) accounted for more than 72%
of all attacks when looking at all verticals during this
period. That rate is halved to 36% when looking at
financial services attacks alone. The top attack type
against the financial services sector was Local File
Inclusion (LFI), with 47% of observed traffic.
LFI attacks exploit various scripts running on
servers, usually PHP, but LFI flaws have also
been known to exist in ASP, JSP, and other web
technologies. The consequence of these attacks
is usually the disclosure of sensitive information.
However, LFI attacks can also be leveraged
for client-side command execution (such as a
vulnerable JavaScript file), which could lead to
Cross-Site Scripting (XSS) and denial-of-service
(DoS) attacks.
Taking all of this into account, criminals conducting
the LFI attacks are looking to expose data that
could enable a stronger foothold on the server,
such as exposing a configuration file with
database credentials. If the database user has
write permissions, the criminal could use the
data exposed via LFI to remotely connect to the
database and compromise the server itself by
command execution.
XSS was the third-most common type of attack
against financial services, with a recorded 50.7
million attacks, or 7.7% of the observed attack
traffic. XSS accounted for 3.3% of the attacks in all
verticals. After that, PHP Injection (PHPi) came in
at just under 16 million attempts against financial
services. Finally, Command Injection, Remote
File Inclusion, OGNL Injection, and malicious file
uploads rounded out the final 5.7% of recorded
attacks against financial services.
Between 2018 and 2019, the most
common attack type against the financial
sector was Local File Inclusion (LFI).
12
Oct 17, 201950,350,787
Nov 22, 201942,248,675
Nov 22, 201840,376,035
Dec 23, 201823,771,753
Oct 28, 201913,491,776
0 M
10 M
20 M
30 M
40 M
50 M
Jan 2018 Mar 2018 May 2018 Jul 2018 Sep 2018 Nov 2018 Jan 2019 Mar 2019 May 2019 Jul 2019 Sep 2019 Nov 2019
Web
att
acks
(mill
ions
)
Vertical Other FinServFig. 5 – While the single-day peaks in attacks are concerning for individual organizations, the continued growth in web attacks
affects all organizations
FinancialServices
AllVerticals
0%10%
20%30%
40%50%
60%70%
80%90% 100%
% Attacks
Ver
tica
l
Attack Vector SQLi LFI XSS PHPi RFI CMDi Other
Fig. 6 – LFI was the top financial services attack type, but SQLi continues to dominate when looking at all verticals
Daily Web Application AttacksFinancial Services and Other
Web Application Attack VectorsDecember 2017 through November 2019
[state of the internet] / securityVolume 6, Issue 1
Financial Services — Hostile Takeover Attempts
今すぐダウンロード
CREDENTIAL STUFFING
74%依然として、従来のユーザー名/パスワード によるログインを使用しているアプリ ケーションやサービスの割合
平均
すべての業種 金融サービス
平均ピーク ピーク
API を標的とした悪性ログインの割合
19% 10%50% 88%
API 標的API を標的とした Credential Stuffing 攻撃は、
金融サービス業界に集中
Akamai が API エンドポイントを特定した方法について詳しくは、 レポートの完全版をご覧ください。