金融サービス/保険業界の脅威情報

金融サービス/保険業界を狙うセキュリティ脅威

金融サービス/保険業界の組織を狙うセキュリティ脅威は以下のとおりです。

  • 組織化されたサイバー犯罪グループは、金融機関の口座情報など、金銭的利益につながる情報の入手や、リアルタイムでの不正送金を試みます。
  • ハクティビストは、妨害活動や嫌がらせなどの行為を通じて、標的企業の方針や行動に抗議し、自らの主張に注目を集めようとします。
  • APT攻撃(Advanced Persistent Threat: 高度で持続的な標的型攻撃)1グループは、スポンサーである政府に標的企業の活動や重要顧客に関する情報を提供する目的で、情報収集活動を実施します。
178084384
今後の脅威動向とその影響

金融サービス/保険業界の企業が、サイバー犯罪者、ハクティビスト、APT攻撃グループにとって今後も注目度の高い標的であり続けるのはほぼ間違いありません。

FireEyeでは、次のような要因が業界を狙う攻撃の引き金となると予測しています。

  • 個人財務管理のためのサービスやモバイル・アプリは、認証情報を目的とする攻撃者に狙われる可能性が高いと考えられます。このようなサードパーティのサービスやアプリは、大量の認証情報を管理する場合がある上、大手小売銀行に比べセキュリティ対策が甘い傾向があるため、攻撃者にとって格好の標的となります。
  • 攻撃グループは、ボットなど既存の攻撃手段を利用して、特に価値の高い金融サービス企業のネットワークに侵入する可能性があります。FireEyeでは、Citadel感染ホストを利用して、独自のマルウェアを標的組織のシステムにインストールし、ネットワーク内を水平移動して、最終的に財務データを窃取した攻撃事例を確認しています。
  • 議論を呼ぶ問題への関与の発覚も攻撃の引き金となり得ます。ハクティビストは、このような問題への注意を喚起し、当事者組織の評価を貶めようと試みます。ハクティビストは、金融サービス/保険業界とは無関係な問題に抗議するために、この業界の企業を標的とする場合もあります。よく知られた企業を攻撃することで、自らの行動への注目を集めやすくなるからです。
  • 国家間の緊張の高まりや紛争も、APT攻撃グループの活動を引き起こす要因となります。攻撃グループは、自国政府の利益になるよう、敵方に対し妨害型・破壊型の攻撃を仕掛けます。

 

FireEyeは、少なくとも15の高度な攻撃グループにより、次の業種の組織が侵害されたことを確認しています。
  • 資産管理
  • ATMのオペレータ
  • ATMなどセルフサービス端末の製造
  • 銀行および信用組合
  • 信用調査サービス
  • 電子決済システム
  • ファイナンシャル・プランナーおよび投資顧問
  • 金融サービス、法務部門、および政府機関向けソフトウェア
  • 金融取引処理
  • 機関投資家専門の証券会社
  • 保険代理店/仲介業
  • 投資会社
  • 抵当金融業者
  • 損害保険会社
  • ベンチャー投資会社
金融サービス/保険企業から窃取されたデータ
 
  • 給付記録
  • ビジネス/戦略プランおよび目標
  • 従業員便覧とポリシー
  • 従業員の経歴書
  • 従業員向け研修資料
  • イベント関連資料
  • 財務文書
  • 請求書
  • 組織図
  • 価格データ
  • 製品の使用説明書とトレーニング資料
  • 定期レポート
  • ソフトウェアに関する記述と設定情報
  • 作業範囲記述書

事例:銀行のカード管理システムを狙ったサイバー攻撃

FireEyeは以前、ある銀行で発生したセキュリティ・インシデントについて調査し、攻撃者がデビット・カードを不正利用して東欧のATMで不正な引き出しを行っていた事実を突き止めました。この事件では、同行のカード管理システムおよびソフトウェアがセキュリティ侵害を受け、未遂に終わったケースを含め、顧客口座の残高計15万ドルが狙われていました。攻撃者はまず、ブラウザベースのエクスプロイトをホストしたWebサイトに同行の社員を誘導。同サイトにアクセスした社員のシステムにバックドアをインストールした後、このバックドアを使用してネットワークに侵入していました。そして同じ社員の認証情報を使用して、カード管理システムにアクセス。複数の顧客口座のデータ上の残高および引き出し限度額を増額した上で、PINを変更しました。これにより、本来の顧客を装って、口座から最大限度額の現金を引き出していたのです。


top5-finance

主要なマルウェア

WITCHCOVEN サイト訪問者のオペレーティング・システムやブラウザ、アプリケーションに関する情報の把握を目的としてプロファイリングを行うスクリプトです。FireEyeでは、このようなスクリプトを利用して、APT攻撃グループがフットプリンティング(訪問者のコンピュータ・システムや所属組織のプロファイリングの際に行われる情報収集)を実行すると見ています。
XtremeRAT 一般に入手可能なリモート・アクセス・ツール(RAT)です。ファイルのアップロードとダウンロード、Windowsレジストリの操作、プロセスとサービスの操作、音声や動画などのデータのキャプチャを行います。
GH0STRAT 一般に入手可能なソースコードに由来するリモート・アクセス・ツール(RAT)です。画面や音声のキャプチャ、Webカメラの有効化、プロセスのリストアップと停止、コマンド・シェルのオープン、イベント・ログの消去、ファイルの作成・操作・削除・実行・転送を行います。
CANNONFODDER 不正なMicrosoft Wordファイルをドロップし、Internet Explorer、Mozilla Firefox、Google Chromeの認証情報を窃取します。また、ユーザーのキー入力内容を記録するキー・ロガーをインストールするほか、攻撃者による標的システムの詳細調査や外部へのデータ送信を可能にする対話モード機能を備えています。
Hussarini 多彩な機能を搭載するバックドアです。中国に拠点を置くと思われる複数のAPT攻撃グループが使用しています。

主要なクライムウェア

Upatre 主にスパム・メールやドライブバイ・ダウンロード、エクスプロイトを経由してシステムに到達するトロイの木馬型のダウンローダで、感染システム上に1種類以上のマルウェアを追加ダウンロードします。ZbotやDyre、Rovnix、CryptoLocker、Necursなど、Upatreによるさまざまな種類のマルウェアの拡散が確認されています。
Ruskill インターネット上のサイバー犯罪フォーラムで売買されている商用クライムウェア・キットです。侵害したエンドポイントをボットネットとして集中管理し、分散サービス妨害攻撃を実行するために使用されます。
Zeus (別名Zbot、Citadel、Gameover)銀行の認証情報の窃取を主目的としたトロイの木馬の一種です。リモートからのシェル・コマンドの実行など、多種多様な機能を備えています。
Jenxcus (別名njw0rm、njworm)広く使用されているツールnjRATの進化形で、リムーバブル・ドライブ経由での拡散や認証情報の窃取などの機能を備えています。多くの場合、Eメール内の不正なリンクや侵害サイトからのドライブバイ・ダウンロードを介して拡散します。
Fareit 情報を窃取するタイプのトロイの木馬です。感染システムをDDoS攻撃に参加させる機能や、別のマルウェアをダウンロードする機能も備えています。

1 国家からの指示を受けて、情報窃取またはネットワーク攻撃を仕掛けるAPT攻撃グループは、執拗に標的を狙い、多種多様なツールと戦術を駆使するなどの特徴を備えています。