フランスに拠点を置くサイバーセキュリティ企業Sekoiaの最新レポートでは、金融セクターの脅威情勢の進化について解説しています。金融セクターは世界で最もフィッシング被害を受けており、QRコードフィッシングの標的も増加しています。
金融業界もソフトウェアサプライチェーンへの攻撃に悩まされており、2023年にはランサムウェアの被害を最も受けやすいセクターの一つとなっています。また、Androidスマートフォンへの攻撃の増加も、サイバー犯罪とサイバースパイ活動の両方において、金融業界に影響を与えています。
ジャンプ先:
- フィッシングの脅威
- BECキャンペーンの進化
- 複数のサプライチェーンリスク
- 金銭目的のマルウェア
- DeFiとブロックチェーンの橋が攻撃を受けている
- サイバー犯罪と国家支援スパイ活動の曖昧な境界線
- サイバー脅威リスクを軽減
フィッシングの脅威
FBIによると、フィッシングは2022年の主なデジタル犯罪であり、2022年には30万人以上の被害者が出ると予想されています。フィッシング対策ワーキンググループによると、2022年第3四半期には金融セクターがフィッシング攻撃の影響を最も受け、金融機関の23%が標的となりました。
サービスとしてのフィッシングが業界に大打撃を与える
Sekoia 氏によると、フィッシング サービス モデルは 2023 年に大規模に導入されています。さまざまな金融機関を装ったフィッシング ページから作成されたフィッシング キットがサイバー犯罪者に販売されているほか、Microsoft を乗っ取って、企業がさまざまなサービスへの認証に使用する Microsoft 365 のログイン資格情報を収集するために作成されたキットも販売されています。
こうした脅威の一例として、金融機関を含む多様なターゲットにフィッシングページを提供するNakedPages PhaaSが挙げられます。この脅威アクターはライセンスを管理し、Telegramチャンネルを通じて定期的にアップデートを発表しています。現在、このチャンネルには約3,500人の会員がいます(図A)。この会員数について、Sekoiaの戦略脅威インテリジェンスアナリストであるLivia Tibirna氏はTechRepublicに対し、「一般的に、サイバー犯罪者はユーザーを自身の公開リソースに招待することで、視聴者を増やし、認知度を高めようとする傾向があります。つまり、これらのユーザーは脅威アクターのサービスの潜在的な(将来の)顧客となるのです。一方で、脅威アクターのTelegramリソースに参加する別のタイプのユーザーは、関連する脅威を監視するサイバーセキュリティの専門家です」と述べています。
図A
提供されたすべてのフィッシング ページの中で、脅威の攻撃者は金融業界の多くの組織で使用されているオンライン会計ソフトウェア QuickBooks に言及しています。
Sekoia の研究者によると、過去 1 年間に PhaaS で最も活発に使用されたツール セットは、NakedPages に加えて、EvilProxy、Dadsec、Caffeine、Greatness です。
QRコードフィッシングキャンペーンが増加中
Sekoiaは、QRコードフィッシング、またはクイッシングと呼ばれるキャンペーンの増加を確認しました。クイッシング攻撃は、QRコードを使ってユーザーを騙し、ログイン認証情報や金融情報などの個人情報を入力させるものです。
Sekoia は、QR コード フィッシングが「検出を回避し、電子メール保護ソリューションを回避する効果」があるため増加するだろうと評価しています。
クイッシング機能は、Dadsec OTTフィッシングサービスプラットフォームの一部であり、Sekoiaによると、2023年第3四半期に最も使用されたキットです。特に銀行を装った複数の大規模攻撃キャンペーンで確認されています。
もう一つの大規模なクイッシング攻撃は、Tycoon PhaaSキットを介して投資組織を標的としました。この攻撃では、QRコードを含むPDFおよびXLSX形式のメール添付ファイルが悪用され、最終的にMicrosoft 365のセッションCookieが窃取されました。
BECキャンペーンの進化
ビジネスメール詐欺キャンペーンは、2023年の最初の6か月間で55%増加しました。これらの攻撃では、CEOや上級管理職になりすますのが一般的でしたが、現在ではベンダーやビジネスパートナーになりすますことも行われています。
最近の事例では、高度な多段階の中間者攻撃によるフィッシングおよびビジネスメール詐欺(BEC)攻撃が金融セクターに影響を及ぼしました。この攻撃は特に銀行および金融サービスを標的とし、信頼できるベンダーのセキュリティ侵害から発生したものであり、BECの脅威状況の進化を示しています。
複数のサプライチェーンリスク
オープンソースソフトウェアのサプライチェーン攻撃は、2022年から2023年にかけて200%増加しました。金融業界の組織の94%がデジタル製品やサービスにオープンソースコンポーネントを使用しているため、この業界はオープンソースソフトウェアのサプライチェーンの侵害を悪用した攻撃の影響を受ける可能性があります。
顕著な例としては、Log4Shell の脆弱性とその悪用が挙げられます。これは、世界中の何千もの企業に金銭的利益やスパイ活動の目的で悪用されました。
銀行業界を特に狙ったサプライチェーン攻撃も報告されており、一部の脅威アクターが銀行業界に対して高度な攻撃を仕掛ける能力を持っていることが示されています。
Sekoia 氏は、「高度な脅威アクターが、銀行業界のソフトウェア サプライ チェーンを標的にし続ける可能性が非常に高い」と述べています。
金融アグリゲーターもまた、脅威アクターにとってこの分野を標的とする新たな機会となっている。セコイア氏によると、これらのアグリゲーターは「従来の銀行と同レベルの規制を受けておらず、潜在的な脆弱性を抱えるテクノロジーによって支えられている」という。
国際通貨基金も、「金融サービスにおける新しいテクノロジーは新たなリスクを生み出す可能性もある」とし、「セキュリティアーキテクチャが不十分な API は、機密性の高いデータの漏洩につながる可能性がある」と述べています。
2023年2月に発生した、そのようなアグリゲーターの一つであるDexibleへの攻撃がその好例です。この攻撃では、脆弱性を突くことで、攻撃者はユーザーのトークンを引き出す前に、自身のスマートコントラクトに誘導することができました。
金銭目的のマルウェア
クレジットカード情報、銀行認証情報、暗号通貨ウォレット、その他の機密データを含む金融データを収集するように設計されたマルウェアは、すでに何年も前から存在しています。
モバイルバンキング型トロイの木馬
Sekoia氏が特に懸念しているのは、モバイルバンキング型トロイの木馬の増加です。2022年には前年比で倍増し、2023年も増加し続けると予想されています。Sekoia氏は、この増加は金融サービスに使用されるモバイルデバイスの増加と、これらのマルウェアが二要素認証の回避に役立つという事実による可能性が高いと予測しています。
スパイウェア
Sekoiaによると、スパイウェア(キー入力、認証情報、その他の機密データを収集するために設計された悪意のあるコード)は、2023年に銀行詐欺にますます多く利用されるようになっている。Androidマルウェアの一つであるSpyNoteは、従来の機能に加えて、銀行系アプリケーションを標的にし始めた。
ランサムウェア
ランサムウェアは金融セクターを重点的に狙っており、2023年第3四半期には4番目に大きな被害を受けたセクターとなりました。身代金要求額は18万ドルから4,000万ドルまで様々で、場合によっては甚大な物理的影響を及ぼしています。
Sekoiaは、BianLianのような金融セクターに影響を及ぼす恐喝行為を行う既知のランサムウェア攻撃者にとって重要な変化を報告しています。彼らは、被害者のシステムやデータを暗号化することなく、情報流出をベースとした恐喝行為に移行しています。これは、大規模な侵害キャンペーンにおいて、大規模な暗号化の問題を回避するためと考えられます。
DeFiとブロックチェーンの橋が攻撃を受けている
ブロックチェーン技術に基づく分散型金融も脅威にさらされています。
暗号通貨は様々なブロックチェーン上に構築されていますが、これらは互いに通信できない閉鎖的な環境です。この課題に対処するため、クロスチェーンブリッジやアトミックスワップといった相互運用性ソリューションが開発されてきました。これらのソリューションは、特定の条件の検証に基づいてトークンの移転を実行するコードセグメントであるスマートコントラクトに依存しています。
DeFi組織への攻撃は、主に従業員を標的としており、従業員は攻撃者に認証情報を提供させられたり、マルウェアに感染させられたりする可能性があります。組織のネットワークに侵入すると、攻撃者は暗号通貨を盗むことができます。
DeFiとブロックチェーン・ブリッジを標的とする国家支援型の脅威アクターの一例として、Lazarusが挙げられます。この北朝鮮の脅威アクターは、他のアクターの10倍の資金を生み出しており、欧州の伝統的な金融機関ではなく、アジアと米国の暗号資産業界の企業を主に標的としています。2023年には、LazarusによるAtomic Wallet、Alphapo、CoinsPaidへのDeFiプラットフォームを標的とした3件の攻撃が発生し、総額1億3,200万米ドルの盗難が発生しました。
Sekoiaの戦略的脅威インテリジェンスアナリスト、コリーヌ・シャヴァーン氏がTechRepublicに語ったところによると、DeFiへの攻撃は主に国家支援を受けた脅威アクターによって行われているようだ。「DeFiプラットフォームとサービスは、サイバー犯罪者ではなく、国家支援を受けた侵入グループによって主に標的にされているようだ。2023年には、サイバー犯罪者によるDeFiへの重大な攻撃は確認されていない。しかし、これらのサービスはサイバー犯罪者やランサムウェアグループによる違法送金に利用される可能性がある。」
ブロックチェーン企業Chainalysisは、2022年の世界全体で38億ドルの損失を報告しており、その損失の64%はクロスチェーンブリッジプロトコルによるものだという。
サイバー犯罪と国家支援スパイ活動の曖昧な境界線
攻撃の帰属は時に困難であり、特に攻撃者の動機を推測するのが難しい場合はなおさらです。金融セクターを標的とした攻撃の中には、金銭目的の攻撃もあれば、サイバースパイ活動が目的の攻撃もあります。さらに興味深いのは、一部の脅威アクターが、実際にはスパイ活動を目的としている戦略的な活動であるにもかかわらず、金銭目的の活動であると偽装しているという事実です。
2022年、Dell Technologies傘下のSecureworksは、ランサムウェアを用いて企業を標的とする脅威アクターBronze Starlightに関する調査を発表しました。Secureworksは、「被害者情報と、政府支援の脅威グループの活動に関連するインフラやツールとの重複を鑑みると、BRONZE STARLIGHTはサイバースパイ活動を隠蔽するためにランサムウェアを展開する可能性がある」と指摘しています。
カスペルスキーが明らかにした別の事例では、暗号通貨マイナーが、StripedFlyと呼ばれるより複雑なマルウェアの要素であり、Equationマルウェアと関連していることが明らかになった。
サイバー脅威リスクを軽減
金融業界は様々なセキュリティ脅威にさらされています。フィッシングやビジネスメール詐欺(BEC)は長年存在してきましたが、依然として業界に影響を与え、新しいテクノロジーにも対応できるよう、その複雑さは進化を続けています。金融機関で働くすべての従業員は、自分たちを標的としたフィッシング攻撃や詐欺行為を検知するための教育を受ける必要があります。また、不審な活動をIT部門に簡単に報告できる手段も必要です。
サプライチェーン攻撃を通じて組織を標的とする攻撃者が増えているため、実環境ではより間接的な攻撃が観測されています。特に、製品やサービスに使用されているオープンソースソフトウェアは、導入前に慎重に検証する必要があります。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
