カジノサイト

喫水線の下: アイランドホッピングの進化

今年のContrast Security によるレポートは目を見張るものがありました。この年次報告書は、金融セクターが直面しているサイバーセキュリティの脅威に光を当てており、その調査結果は、過去 1 年間のサイバー犯罪事件が世界中の金融機関 (FI) に与えた、そして今後も与え続ける影響を反映しています。

レポートの作成者は、金融業界のセキュリティ リーダーにインタビューし、発生している攻撃の種類、最も懸念している脅威、セキュリティ戦略をどのように調整しているかについて聞きました。

2022 年に金融機関の 60% が破壊的攻撃の被害者になったことを考えると、サイバー犯罪カルテルと国家が攻撃の高度化と組織化の両面で進化していることを金融セクターが理解することが重要です。これらは過去の銀行強盗ではありません。もはや単なる電信送金詐欺が最終目標ではなく、金融機関のデジタル変革を乗っ取ることが最終目標なのです。 

アイランドホッピングとは何ですか?

この報告書の最も注目すべき発見の 1 つは、島巡りの進化です。アイランドホッピングは、攻撃者が銀行のデジタル変革をハイジャックし、それを利用して顧客やパートナーに対する攻撃を開始するときに発生します。 

手口は単純です。アプリケーション攻撃を通じて企業環境に侵入し、環境へのアクセスを利用して顧客ベースに対して攻撃を開始します。ちょっと見てください加瀬谷またはソーラーウィンズ。どちらも、両社の顧客に広がった歴史的なサプライチェーン攻撃の被害者でした。 SolarWinds では、サイバー犯罪者が同社のシステムに侵入し、Orion IT リソース管理ソフトウェア システムを汚染し、数千の組織に影響を与えるインシデントを引き起こしました。 Kaseya はサプライ チェーン攻撃に見舞われ、世界中の何百もの組織がシステムにランサムウェアを大量に送り込み、データが暗号化されました。

2022 年にはアイランドホッピングが劇的に増加し、回答者の 58% がこの種の攻撃の被害に遭ったと回答しました。この増加は被害組織にとって業務上および風評上の多大なリスクを意味します。プライスウォーターハウスクーパース（PwC）は 消費者の 87% は、データ侵害が発生した場合、またはその時点で、自分のお金とビジネスを取り上げ、立ち去ることをいとわないということです。  顧客だけでなく、優秀な人材、サプライヤー、投資家も失うことになります。最初の 2 つは信頼できる企業を探しますが、金融アナリストは投資基準の一部として評判の指標を含めます。

金融機関の 54% がロシアによるサイバー脅威を最も懸念しており、次いで北朝鮮と中国が僅差で続いています。これは、これらの国で活動するサイバー犯罪カルテルが金融機関の相互依存関係を調査し、どのマネージド サービス プロバイダーが使用されているかを把握し、そのプロバイダーのアプリケーション プログラミング インターフェイス (API) を標的にしているためです。レポートの調査結果によると、金融機関の 50% が API に対する攻撃を経験しています。

単なる電信送金詐欺はもはや最終目標ではありません。

なぜこんなことが起こっているのでしょうか? API を使用すると、金融分野のアプリケーション間の重要な通信が可能になります。これらは、銀行を運営する洗練されたクラウドネイティブ アプリケーションの複雑な可動部分を接続します。最新の Web アプリは、複数のクラウド環境とオンプレミス環境にまたがる、相互接続された API、マイクロサービス、フレームワーク、ライブラリ、サーバーレス機能のクラスターです。

API の普及の拡大と、API が展開される分散インフラストラクチャの物理的広がりにより、サイバー犯罪者にとって攻撃対象領域は拡大し続けています。さらに懸念されるのは、API がアイランド ホップに使用され、API をハイジャックして顧客に対して攻撃を開始できるという現実です。

API に対する今後の攻撃

いくつかの理由から、攻撃ベクトルとして API が増加することが予想されます。使用されているパブリック API とプライベート API の合計数は 2 億に近づいています。マイクロサービス アーキテクチャへの新しい開発アプローチに変化が起きています。使用する組織によって管理または保護されていないサードパーティ API (シャドウ API とも呼ばれる) が多数存在します。継続的な開発は、スプロール化とバージョン管理の問題につながります。オンプレミス、クラウド、サーバーレス環境にまたがるハイブリッド アプリにより、攻撃対象領域が増加します。

外部サーバーまたはプログラムから要求されたデータを取得してクライアントに返すためにクライアント アプリケーションによって API が呼び出される場合、その結果は信頼できるものとみなされます。ゼロトラストを適用する必要があります。 API は危険であり、銀行は API が汚染され、銀行の顧客や従業員を攻撃するために使用される人質状態に陥ります。

この現実を考慮すると、この攻撃的戦術が防御側に情報を提供することを許可しなければなりません。  サイバー警戒は API にも及ぶ必要があります。

この急増する脅威を軽減するには、金融機関は次のベスト プラクティスに従う必要があります:

1. 開発中および本番環境で公開されている API の完全なインベントリを維持します。
   
   
2. 開発中に実行中の API に対して完全なセキュリティ テストを実行し、未知の脆弱性を特定して修正します。
   
   
3. 強力な認証とアクセス制御を確立します。
   
   
4. アクティブなサードパーティのライブラリ、フレームワーク、サービスの脆弱性を見つけて、ソフトウェア サプライ チェーンのセキュリティ ギャップを特定します。
                           
5. 最後に、すべての API がランタイム セキュリティでデプロイされていることを確認することで、ゼロデイ攻撃から保護します。
   
   

API 攻撃によるアイランドホッピングを軽減することは、持続可能なデジタル変革の中心です。 2023 年、私たちはデジタル環境のウォーターラインより下にあるものを評価する必要があります。ブランドに対する信頼と自信は、サイバー警戒によって支えられています。

トム ケラーマンはコントラスト セキュリティ社のサイバー戦略担当上級副社長であり、年次報告書の著者ですサイバー銀行強盗報告します。ケラーマン氏はこれまで、VMware のサイバーセキュリティ戦略責任者および Carbon Black Inc. の最高サイバーセキュリティ責任者の役職を歴任しました。2020 年に米国秘密情報部のサイバー捜査諮問委員会の委員に任命されました。彼は以前、ウィルソンセンターのサイバー政策担当グローバルフェローに任命されていました。ケラーマン氏は、トレンドマイクロの最高サイバーセキュリティ責任者、コアセキュリティのセキュリティ担当副社長、世界銀行財務省のCISO副社長も歴任しました。 2008 年、ケラーマンは第 44 代米国大統領のサイバー セキュリティ委員会の委員に任命されました。 2003 年に彼はこの本を共著しました電子機器の安全性と健全性: 新しい時代の財務の確保。

© コントラスト セキュリティ