ブログ

個人情報の盗難: 想像以上に深刻な脅威

クナ・ナラパンサムネイル
クナ・ナラパン
2015 年 12 月 27 日公開

アジアの金融サービス業界は最も規制が厳しいセクターの 1 つであり、コンプライアンスはセキュリティ保証の一形態として宣伝されることがよくあります。 ただし、コンプライアンスはセキュリティの 1 つの側面にすぎません。 さまざまな規制が幅広い問題をカバーしていますが、コンプライアンスに対処するためのソリューションやデバイスを単に実装するだけでは十分ではありません。

アジア太平洋地域ではモバイル デバイスの普及が進み、インターネット バンキングも増加したため、サイバー セキュリティの脅威はますます高度化しています。 しかし、テルストラのモバイルアイデンティティ調査によると、金融サービス企業の幹部の62%が、アイデンティティとセキュリティに十分な投資をしていないと回答しています。 消費者の半数以下が金融機関のセキュリティパフォーマンスに満足しており、3分の1以上が個人情報の盗難を経験している。

JPモルガンの情報漏洩や昨年韓国の銀行が大規模なクレジットカード情報漏洩に見舞われたなどの個人情報窃盗事件、そして2014年に被害者から160億ドルが盗まれた個人情報詐欺などにより、個人情報窃盗は金融サービス業界にとって急速に強力になってきていますが、依然として過小評価されている脅威となっています。

攻撃対象領域の拡大と巧妙化

攻撃対象領域の拡大と攻撃ツールの高度化により、個人情報の盗難はサイバー犯罪者の間で一般的になっています。 今日、サイバー攻撃はより広範囲にわたる経路を通じて行われています。 たとえば、多くの金融サービス組織が従業員の個人デバイスによる企業ネットワークへのアクセスを許可しているため、BYOD (個人所有デバイスの持ち込み) により、モバイル デバイスはサイバー犯罪者が組織の従業員の認証情報を利用して情報を隠したり、拡散したり、盗んだりするためのチャネルになる可能性があります。

もう 1 つのベクトルは、安全でない公開 Webapplicationsであり、これにより ID がすぐに盗まれる可能性があります。 これらには、 ShellshockHeartbleedなど、昨年注目を集めたゼロデイ脆弱性が含まれます。 必要なのは、組織が脆弱性の修正に時間がかかったり、Webapplicationsを保護するための適切なテクノロジが不足したりすることだけです。 サイバー犯罪者が制御権を獲得すると、データの盗難からサーバーを利用したボットネット攻撃の開始まで、やりたい放題になります。

この「遊び場」の拡大は、サイバー犯罪者がログイン資格情報を盗む方法に関してより多くの選択肢を持つことを意味し、キーロギング ソフトウェアやデータベース侵害に頼る必要がなくなり、単に Web インジェクションを使用すればよくなります。

たとえば、ユーザーがインターネット バンキング アカウントにログインするときに、ATM PIN (現金自動預け払い機の個人識別番号) を Web ページに入力して、正当なものであるように見える追加フィールドを挿入することで、技術に精通しているユーザーとそうでないユーザーの両方を騙すことができます。 この状況が発生すると、マルウェアは、ホスト Webapplicationからは見えないバックグラウンドで「マン・イン・ザ・ブラウザ」攻撃を実行する可能性があります。

攻撃ベクトルが増加するだけでなく、今日のマルウェアやトロイの木馬は、モバイル バンキングapplicationsを介してログイン資格情報を盗み、銀行やその他の金融サービス機関の資金にアクセスする機能も備えています。 サイバー犯罪者は、銀行applicationに似たモバイルapplicationを作成し、スピアフィッシングを使用してログイン資格情報を盗むことができます。 Dyre や Dyreza などのマルウェアは、企業の銀行口座を直接標的とし、何も知らない企業から 100 万ドル以上の金銭を盗み出すことに成功しています。

階層化された防御、積極性、強力なモバイル ポリシーで脅威に対処します。

2015 年上半期の侵害の大半は内部者の脅威によるものであり、組織が今日の急速に変化するサイバー犯罪者に遅れを取らないようにすることがこれまで以上に重要であり、企業はインターネットに接続するapplicationsを保護するために必要な対策を実施する必要があります。 これは、常にネットワークに侵入する機会を探しているサイバー犯罪者にとって自然なチャネルであるため、優先事項のトップに置く必要があります。 重要なのは、ジェイルブレイクデバイスも推奨されないことです。これは通常、サイバー犯罪者がネットワークにアクセスするための別の手段となるためです。

まず、適切なテクノロジーを活用した徹底した防御戦略が不可欠です。 ファイアウォールなどのテクノロジーを使用すれば組織のネットワークを保護できるというのは、多くの人が抱いている一般的な誤解ですが、これは今日では当てはまりません。 組織は、Webapplicationファイアウォールなどの他のテクノロジを検討する必要があります。 Webapplication攻撃は、多くの場合、特定のapplicationに合わせて調整および作成されるため、従来のセキュリティ対策では見逃されてしまいます。

修復(侵害後の修復)は役割を果たしますが、ネットワークのセキュリティ保護に積極的に取り組むことがさらに重要です。 修復シナリオは本質的にリアクティブであり、フォレンジック チームは侵害の原因を遡って追跡し、レポートを提供し、インシデント後に修復を行います。 一方、組織を積極的に保護することで、すべての攻撃を 100 パーセント捕捉できるとは限りませんが、これを 100 パーセントからより低い割合に削減できれば、それは成功とみなされるはずです。

最後に、自己満足と闘い、「自分には起こらない」という態度を捨て、隣人が攻撃されているのを見ても自分は幸運なままでいられると期待する態度を捨てる必要もある。

組織は、モバイル デバイスが会社から発行されたものか、個人が所有したものかに関係なく、モバイル デバイスの取り扱いに関するガイドライン、原則、および実践を定義するモバイル デバイス セキュリティ ポリシーを確立する必要があります。 これらのポリシーは、役割と責任、インフラストラクチャのセキュリティ、デバイスのセキュリティ、セキュリティ評価などの領域をカバーする必要があります。

セキュリティ ポリシーを確立することで、組織は、ワイヤレス ネットワークのセキュリティをサポートするためのプラクティス、ツール、トレーニングを適用するためのフレームワークを作成できます。 モバイル セキュリティ ポリシーについて従業員をトレーニングすることで、組織はモバイル デバイスが安全かつ適切に構成、操作、使用されるようにすることができます。