サイバー銀行犯罪レポートによりアイランドホッピング攻撃の進化が明らかに

Contrast Securityによる今年のサイバー銀行犯罪レポートは目を見張るものがあった。この年次レポートは、金融セクターが直面しているサイバーセキュリティの脅威に光を当てており、調査結果は、昨年発生したサイバー犯罪事件が世界中の金融機関に与えた(そして今も与え続けている)影響を反映している。

レポートの執筆者らは、金融セクターのセキュリティリーダーにインタビューし、どのような攻撃を目にしているか、どのような脅威を最も懸念しているか、セキュリティ戦略をどのように適応しているかについて取材している。

2022年には金融機関の60％が破壊的な攻撃の被害者であったことを考えると、サイバー犯罪組織と国家が攻撃の高度化と組織化の両方において進化していることを金融業界が理解することが極めて重要である。これらは、過去の銀行強盗ではない。もはや単なる振り込み詐欺は最終的な目的ではなく、金融機関のデジタルトランスフォメーションを乗っ取ることが最終目的なのだ。

アイランドホッピング攻撃とは？

本レポートで最も注目すべき点のひとつは、アイランドホッピング攻撃の進化である。アイランドホッピングとは、敵対者が銀行のデジタルトランスフォーメーションを乗っ取り、それを利用して顧客やパートナーに対して攻撃を仕掛けることで発生する。

手口は単純で、アプリケーションの攻撃によって企業の環境に侵入し、その環境へのアクセスを利用して顧客に対して攻撃を仕掛ける。KaseyaやSolarWindsへの攻撃は両社とも以前から頻発しているサプライチェーン攻撃の被害者であり、攻撃は両社の顧客に広がった。SolarWinds社では、犯罪者が同社のシステムに侵入し、同社のITリソース管理ソフトウェアシステム「Orion」を汚染する事件が発生し、数千の企業が影響を受けた。Kaseya社はサプライチェーン攻撃を受けて、世界中の何百もの企業がシステムにランサムウェアを送り込まれデータが暗号化された。

2022年にはアイランドホッピング攻撃が劇的に増加し、回答者の58％がこの種の攻撃を受けたことがあると答えている。これは、被害者である企業にとって、業務上および風評上の多大なリスクを意味する増加である。PwC(プライスウォーターハウスクーパース)の報告によると、87％の消費者は、データ侵害が発生した場合またはその発生時に、取り引きをやめたいと考えている。企業は顧客だけでなく、優秀な人材、サプライヤー、投資家も失うリスクを負うことになる。前者2者は、信頼できる企業を探す一方、金融アナリストは評価指標を投資基準の一部に含めるからだ。

金融機関の54％がロシアによるサイバー脅威を最も懸念しており、次いで北朝鮮と中国が僅差で続いている。これらのサイバー犯罪組織は金融機関の相互依存関係を調査し、どのマネージドサービスプロバイダーが利用されているかを把握し、API(アプリケーションプログラミングインターフェース)を標的にするからだ。レポートの調査結果によると、金融機関の50％がAPIに対する攻撃を経験している。

なぜこうなるのかというと、APIは金融業界におけるアプリケーション間の重要な通信を可能にするからである。APIは、銀行を動かす高度なクラウドネイティブアプリケーションの複雑な可動部分に接続する。最新のWebアプリケーションは、複数のクラウド環境やオンプレミス環境にまたがる、相互接続されたAPI、マイクロサービス、フレームワーク、ライブラリ、サーバーレス機能のクラスターである。

APIがますますユビキタス(いつでもどこでも存在)になっていること、そしてAPIがデプロイされている分散インフラが物理的に広がっていることは、サイバー犯罪者にとって攻撃対象領域が拡大し続けていることを意味する。さらに懸念されるのは、APIがアイランドホップ(APIをハイジャックして顧客に対する攻撃を開始すること)に利用される可能性があるという現実だ。

APIに対する今後の攻撃

いくつかの理由から、APIが攻撃ベクトルとして増加することが予想される。使用されているパブリックAPIとプライベートAPIの合計数は、2億に近づいている。マイクロサービスアーキテクチャへの新しい開発アプローチに変化が起きている。使用している企業が管理または保護していないサードパーティのAPIは、シャドウAPIとも呼ばれ、多数存在している。継続的な開発はスプロールとバージョン管理の問題につながる。オンプレミス、クラウド、サーバーレス環境にまたがるハイブリッドアプリは、攻撃対象領域を拡大する。

APIがクライアントアプリケーションから呼び出され、リクエストされたデータを外部のサーバやプログラムから取得してクライアントに送り返す場合、その結果は信頼できるものと見なされる。ゼロトラストを適用する必要がある。APIは危険であり、AIPによって、銀行はAPI が汚染され、銀行の顧客や従業員を攻撃するために使用される人質状況にさらされる。

このような現実を考えると、この攻撃的な戦術が我々の守備に影響を与えることを認めなければならない。サイバー犯罪に対する警戒はAPIにまで及ばなければならない。

この急増する脅威を軽減するために、金融機関は以下のベストプラクティスに従わなければならない。

1. 開発中および本番環境で公開されているAPIの完全なインベントリをメンテナンスする。
2. 開発中に実行中のAPIに対して完全なセキュリティテストを実施し、未知の脆弱性を特定して修正する。
3. 強固な認証とアクセス制御を確立する。
4. アクティブなサードパーティのライブラリ、フレームワーク、サービスの脆弱性を発見することにより、ソフトウェアのサプライチェーンにおけるセキュリティギャップを特定する。
5. 最後に、すべてのAPIにランタイムセキュリティを確実に導入することで、ゼロデイ攻撃から保護する。

API攻撃からのアイランドホッピングを軽減することは、持続可能なデジタルトランスフォーメーションの重要事項だ。2023年には、デジタル環境の水面下に何があるかを評価しなければならない。御社のブランドに対する信頼と信用は、サイバー攻撃への警戒によって支えられるのだ。

Read more: 

• Brand protection in an era of island hopping
• Hands-on testing and protecting APIs (virtual workshop) 
• Defense-in-depth web AppSec: The case for having both RASP and WAF (white paper)
• The Future of API Security (webinar)
• Protecting Apis: An Uphill Battle (white paper)
• Building a modern API security strategy: A five-part series — Overview