危機的レベルに達したサイバー犯罪 - 代表的なフィンテックへの攻撃経路

私たち消費者がいつでもどこでも利用できるサービスを求めるようになったことで、今やトランザクション全体の過半数以上はモバイルデバイス経由で行われています。

ThreatMetrixが行った最近の調査によると、金融機関との取引をオンラインで行う顧客が増えており、特に外出先で自身のアカウントにアクセスするケースが増加しています。金融サービス取引全体の88%はアカウントログインによって行われており、前年比で倍増しています。モバイル取引も2017年第4四半期に大きく成長し、金融サービス取引全体の60%を占めました。

その中で、利便性とスムーズなユーザーエクスペリエンスを重視する新興フィンテックは業界に変革をもたらしています。既存の金融機関と金融スタートアップ企業は、互いに切磋琢磨して、デジタルイノベーションを通じてビジネスのあらゆる面の変革に取り組んでいます。問題は、サイバー犯罪者がその革新的技術の隙をついていることです。アカウント作成攻撃が2017年第4四半期に増え、2015年と比べて382%増加しました。これはフィンテックプラットフォームに起因するリスクの増大を示しています。犯罪者が新規ローン申請や他の金融商品から手っ取り早くもうけを得ようと狙っていることは間違いありません。

危機的レベルに達したサイバー犯罪 - 代表的なフィンテックへの攻撃経路

既知の脅威が進化する以上に、いくつかの重要な攻撃経路が新たに勢いを増しつつあります。金融機関がサイバーセキュリティ戦略を策定する際に検討すべき最も一般的な攻撃を以下に挙げます。

●デバイスのなりすまし

ネットワーク上のデバイスになりすますことで、サイバー犯罪者は極めて複雑な申請手続きを回避し、ネットワークホストに対して攻撃を行い、データを盗み出し、マルウェアを拡散することができます。東南アジアを例にとると、安価なスマートフォンに加え、デバイスの共有、Jailbreakやroot化したデバイスの使用が一般化しています。これが犯罪者にチャンスを与え、この地域におけるデバイスのなりすまし攻撃の拡大を引き起こしているのです。

●身元のなりすまし

サイバー犯罪者は、信頼できる送信元から発信されたように見えるメッセージを作成すること、つまり、正規の送信者からのメッセージを代わりに盗み見て、メッセージが正規のものに見えるようにすることができます。この形態の攻撃は、正規ユーザーからログイン認証を乗っ取るために使われることがあり、身元に関連付けられているすべてのリソースを標的にすることができます。実際のところ、身元のなりすましとデバイスのなりすましがアジア太平洋地域で最も一般的な攻撃経路です。アジアにおけるこれらの攻撃経路の割合は世界平均を大きく上回っており、この地域が影響を受けやすいことが浮き彫りになっています。これはこの地域の一部の国が一般的に普及している身元確認評価にアクセスできないことが原因のひとつです。

●マン・イン・ザ・ブラウザ(MitB)またはボット

犯罪者は、ボットやスクリプトを使って認証情報を大規模にテストし、信頼されているユーザーアカウントに侵入することができます。しかし、リンクやコンテンツをチェックするために検索エンジンで使用されたり、データの検索やパフォーマンスを監視するためにデジタルビジネスでさまざまに使用されたりするボットが普及していることから、良いボットの普及が進むにつれて、良いボットと悪いボットを区別することがますます重要になっています。この傾向は、銀行による第三者プロバイダーへのAPI公開が新しいビジネスモデルとサービスの登場につながることから、EUのPSD2(改正版決済サービス指令)発行に伴い続くとみられます。

●IPスプーフィング

犯罪者は、自身を偽装するために、偽の(またはなりすましの)送信元アドレスからIPパケットを送信します。DoS攻撃では、正当な送信元のIPアドレスからであるように見えるパケットを使って、ネットワークやその他のデバイスに高い負荷をかけるためにIPスプーフィングを用いることがよくあります。

危機的レベルに達したサイバー犯罪 - 代表的なフィンテックへの攻撃経路


ユーザーとそのデバイス、ロケーション、行動、およびその他の動的データ要素間の関連付けに関して、デジタル・アイデンティティ・インテリジェンスを活用することなく、不正を検出することは事実上不可能です。攻撃がますます高度で複雑化する中、金融機関はその防御力を強化しなければなりません。金融機関が第4四半期にこの問題に直面したことを受け止めて、セキュリティ防衛の強化を業界全体でサポートしていく必要があります。