［インターネットの現状］／ セキュリティ

エグゼクティブサマリー：

金融サービスへの 攻撃エコノミー

第 5 巻、第 4 号

概要

金融サービス業界は、 常に犯罪の主要な標的となってきました。 金融機関の攻撃に使用されるツールは、ますます拡大する犯罪エコシステムの一部となっています。 このレポートでは、 銀行、 信用組合、 証券会社など、 金融サービス業界に属する組織を対象にした攻撃の全体像を探ります。

Akamai のリサーチ

Credential Stuffing はよくある攻撃で、漏えいしたユーザー名とパスワードの組み合わせが、ログインフォームなどの認証システムに自動的にインジェクトされるものです。多くの場合、攻撃者はオールインワン（AIO）アプリケーションを利用し、大規模な Credential Stuffing を自動化することで、比較的容易に Credential

Stuffing 攻撃を設定し、実行できます。

このレポートのため、Akamai は 2017 年 11 月から 2019 年 4 月までの 18 か月間にわたり Credential

Stuffing データを調査しました。この調査の中で、57,970,472,311 回の悪意のあるログイン試行を確認しました。そのうち、計 3,547,533,230 回が金融サービス組織を標的としたものでした。世界的に見ると、金融サービス業界を標的とした悪意のあるログインの最大の発信元国は米国であり、中国、マレーシア、ブラジル、 ドイツがそれに続きます。

SYN-ACK リフレクション攻撃

2019 年 3 月、多くの金融サービス組織が、通常は犯罪に使用されることのないある種の攻撃を目にするようになりました。これが、SYN-ACK パケットを利用して、標的のデータセンターを飽和状態にする DDoS（分散型サービス妨害）攻撃です。この特殊な攻撃が以前の SYN-ACK フラッドと異なる点は 2 つあります。1 つは影響を受ける標的の数、もう 1 つはこのトラフィックに起因する二次的影響です。Akamai は、この 2 点を少し深く掘り下げて調査しました。攻撃の標的は銀行だったのか、それとも別の意図があったのかを考察しています。

［インターネットの現状］／セキュリティ金融サービスへの攻撃エコノミー：エグゼクティブサマリー 2

［インターネットの現状］／セキュリティ金融サービスへの攻撃エコノミー：エグゼクティブサマリー 3

金融機関に対するもう 1 つの重要な攻撃セグメントは、フィッシング攻撃です。2018 年 12 月 2 日から 2019 年5 月 4 日までの間、Akamai は 197,524 件のフィッシングドメインを検知しました。これらのうち 66% は消費者、34% はエンタープライズ組織を標的とするものでした。消費者を標的としたフィッシングドメインで一番狙われたのは金融機関でした。

同じ 18 か月間で、Web 攻撃の件数は全業種合計で 4,460,367,847 件に上りました。このうち金融サービス業に影響を与えた攻撃件数は、411,409,583 件で、全体数の 9% 強にあたります。しかし、重複を除いた「ユニークな」標的数として見ると、同期間中の金融サービス業界の割合は 14% に上っています。Web 攻撃の全体数は増加していますが、金融サービス業界を標的とした攻撃数は比較的安定しています。

e

&

34.8%45,389

24.4%31,795

9.4%12,202

9.9%12,868

9.9%12,928

5.1%6,587

4.8%6,288

1.7%2,185

10,0000 20,000 30,000 40,000 50,000

&

FinTech

&

50.6%

15.7%

14.5%

8.6%

5.7%

1.8%

1.1%

0.7%

0.6%

0.4%

0.3%

0 M 50 M 100 M 150 M 200 M

業

Akamai は世界中の企業に安全で快適なデジタル体験を提供しています。Akamai のインテリジェントなエッジプラットフォームは、企業のデータセンターからクラウドプロバイダーのデータセンターまで広範に網羅し、企業とそのビジネスを高速、スマート、そしてセキュアなものにします。マルチクラウドアーキテクチャの力を拡大させる、俊敏性に優れたソリューションを活用して競争優位を確立するため、世界中のトップブランドが Akamai を利用しています。Akamai は、意思決定、アプリケーション、体験を、ユーザーの最も近くで提供すると同時に、攻撃や脅威は遠ざけます。また、エッジセキュリティ、ウェブ／モバイルパフォーマンス、エンタープライズアクセス、ビデオデリバリーによって構成される Akamai のソリューションポートフォリオは、比類のないカスタマーサービスと分析、365 日 /24 時間体制のモニタリングによって支えられています。世界中のトップブランドが Akamai を信頼する理由について、www.akamai.com/jp/ja/、blogs.akamai.com/jp/、および Twitter の @Akamai_jp でご紹介しています。全事業所の連絡先情報は、www.akamai.com/jp/ja/locations.jsp をご覧ください。公開日：2019 年 7 月。

ここで取り上げた内容の詳細については、以下の完全版レポートをダウンロードください：インターネットへの現状／セキュリティ／金融サービスへの攻撃エコノミー（英語版）

［インターネットの現状］／セキュリティ金融サービスへの攻撃エコノミー：エグゼクティブサマリー 4

この期間に金融サービス業で確認された攻撃の大部分（94%）は、SQL インジェクション（SQLi）、ローカル・ファイル・インクルージョン（LFI）、クロスサイトスクリプティング（XSS）、OGNL Java インジェクションの 4 つの手法のいずれかでした。OGNL Java インジェクションの試行回数は、18 か月間で 800 万を超えています。この攻撃回数の多さから、Apache Struts への攻撃が、金融サービス業界を標的とした犯罪において依然として非常によく使われていることを再認識させられます。

DDoS 攻撃は、Credential Stuffing 攻撃を実行したり、脆弱性を悪用したりするために、犯罪者が目くらましとして使用することもあります。この 18 か月間のデータでは、金融業界に対して 800 回を超える DDoS 攻撃が確認されています。また、DDoS の標的の 40% 以上が金融サービス業界に存在していました。この期間に金融サービス領域に対して最も一般的に仕掛けられた DDoS 攻撃は、SYN フラッド、RESET フラッド、TFTP フラッド、TCP フラグメントフラッドでした。

犯罪者は認証メカニズムを標的にする傾向があるため、多くの場合、API やログインを伴うアプリケーションに視線を向けています。金融機関は Open Financial Exchange（OFX）プロトコルを使用し、金融機関同士でデータを処理し、サードパーティアプリケーションにデータを提供しています。この規格はバージョン 2.2 にアップデートされていますが、多くの組織が依然として、それよりも古くセキュリティの劣るバージョンでデータを処理しているのが現状です。