ブログ

増え続けるマルウェアの脅威に対する Web 詐欺対策ソリューション

Shahnawaz 支援者サムネイル
シャーナワズ・バッカー
2016 年 5 月 10 日公開

導入

インターネットは全世界に革命を起こしています。 アジア太平洋地域のインターネット普及率は平均 36% で、ニュージーランドでは 91%、シンガポールでは 81% となっています。 銀行業界もこの傾向から逃れられず、デジタル化を進めています。 McKinsey の調査によると、デジタル バンキング コンシューマーはアジア全体で 7 億人を超える顧客を占めています。

以下のグラフは、マッキンゼー・アンド・カンパニーが登録したアジアにおけるデジタルバンキングの普及率を示しています。

チャート: デジタルバンキングの普及率(2014年)

デジタルバンキングが広く採用されるにつれて、犯罪者は金銭を狙うようになり、金融機関はサイバー攻撃の最大の標的となっています。 Websense Security Lab のレポートによると、金融サービス機関に対する攻撃の平均件数は、他の業界の企業に比べて 4 倍多いそうです。 また、攻撃は特定の地域に限定されず、世界中に広がっています。 以下のグラフは、カスペルスキーの 2015 年のレポートに基づいて、攻撃を受けたユーザーの割合による上位 10 か国をリストしたもので、アジア太平洋地域が活動のホットゾーンであることを明確に示しています。

https://securelist.com/analysis/kaspersky-security-bulletin/73038/kaspersky-security-bulletin-2015-overall-statistics-for-2015/

セキュリティ上の脅威にもかかわらず、デジタルバンキングの時代は今後も続くでしょう。 この記事では、銀行チャネルを標的とした攻撃を阻止するために利用できる緩和戦略とオプションについて説明します。

 

脅威の詳細分析  

すべての金融機関は、オンプレミスかクラウドかを問わず、データセンターを保護するためのテクノロジーに多額の投資を行い、デジタル資産の保護に十分な注意を払っています。 多層防御により、最重要資産は多層のセキュリティで保護され、侵入が困難になります。 クラッカーは、防御を突破するために、ゼロデイや高度で洗練されたテクニックを発見する必要があります。 一方、これらのデジタル サービスにアクセスするために使用されるエンドポイントは、ほとんど保護されていません。  ユーザー デバイスのセキュリティは、古いオペレーティング システム、ウイルス対策の欠如、ドライブバイ ダウンロードによる感染などによって欠陥が生じる可能性があります。 これにより、クラッカーはマシンに感染し、デジタル時代のアプリ中心の世界でセキュリティを弱めるための幅広いオプションを手に入れることになります。   サイバー犯罪者は、このような被害を引き起こすためにコンピューターの専門家である必要はありません。感染して盗むためのソリューションは、地下市場でソフトウェアとして入手可能です。 

このグラフは、ユーザーとブラウザが攻撃の標的となっている理由を示しています。

現代のマルウェアが利用するツールセット

ベクター

説明

フォームグラビングとキーロガー

フォーム グラバーは、ユーザーがリクエストを送信する前に、HTML フォーム要素から機密データをキャプチャします。

 

キーロガーはキー入力を盗聴し、盗難目的でデータを記録する

 

RATとバックコネクト

これらは、システムに対するリモート オペレータ制御を提供するリモート管理ツールです。 悪意のあるRATはトロイの木馬としてユーザーのデバイスに入り込み、デバイス上のセキュリティソフトウェアから隠れます。

中間者攻撃

MITMでは、攻撃者はブラウザとサーバーの間でメッセージを送信し、その間にメッセージを改ざんして機密情報を盗んだり、セッションをハイジャックしたりします。

ブラウザの中の男

MITB攻撃は、ユーザーとホストサーバーの両方から見えないように、Webページとトランザクションのコンテンツを密かに変更します。

モバイルマルウェア

トロイの木馬は、SMS を盗むこと (ワンタイム パスワードを破ること) を目的として展開され、デバイスの DNS を侵害して機密情報の盗難につながります。

マルウェアを理解する

現代のマルウェアは盗むことを目的として書かれています。 高度なマルウェアの 1 つである Dyre の動作方法を見てみましょう。

  • 被害者のマシンはスパムキャンペーンによって感染します。
  • マルウェアは起動されるとブラウザに接続し、金融サイトへのユーザーのアクセスを探し、ログイン資格情報を取得します。 2 要素認証や追加のリスクベースの認証を阻止するために、マルウェアは必要な追加情報を含む HTML コンテンツを表示します。
  • キャプチャされたすべてのコンテンツはドロップゾーンに送信され、攻撃者は認証情報を使用して

脅威に先手を打つ

現代のマルウェアの脅威を軽減し、制御するために、組織は検出して阻止するテクノロジーを導入する必要があります。 次の表は、いくつかの共通原則を示しています。

原理

意味

マルウェア詐欺検出

 

マシン上で実行されているマルウェアを検出する

フィッシング対策

 

オリジナルサイトからコピーされた不正なウェブサイトのコピーと削除を保護します

アプリケーションレベルの暗号化

 

ユーザーが組織に転送した機密情報がブラウザ内に残っている間に傍受されるのを防ぐ

 

取引保護

 

多層的な取引チェックとリスクスコアリングにより、不正な取引や疑わしい活動から保護します。

 

デバイスと行動分析

 

実際のユーザーとスクリプトやボットによって開始された自動取引を区別し、不正な支払いや送金を防止します。

 

モバイルアプリのセキュリティ保護

 

マルウェアやジェイルブレイクされたデバイスを検出し、MiTM、キーロガー、不正なapplicationsから保護し、情報が攻撃者にとって役に立たないものになるようにします。

 

善と悪の間で絶え間ない追いかけ合いが続いています。 現代のマルウェアに対抗するために、テクノロジーは(常に変化しながら)進化しています。 このテクノロジーは、エージェント ベース ソリューションとエージェントレス ソリューションに大まかに分類できます。

 

エージェントベース

エージェントレスソリューション

ハイブリッドソリューション

意味

このソリューションは、デスクトップ上で実行され、攻撃シグネチャを探すエージェントとともに提供される。

ソリューションは、攻撃シグネチャを検出するためにJavaScriptを使用するWebテクノロジーを使用して提供されます。

デスクトップ上で動作するエージェントとJavaScriptの組み合わせがapplicationとともに提供される

強さ

エージェントはデスクトップ上で権限を持って実行され、攻撃を検出して軽減する機能を持っています。

クライアントレス展開により、より広い範囲をカバーできます。

保護カバーは電源を入れた瞬間に提供され、ユーザーによるアクティベーションやインストールは必要ありません。

 エージェントとエージェントレスソリューションの両方の強みを提供する組み合わせ

展開

大量展開が必要

クライアント側での展開は不要

エージェントソリューションに必要なロールアウト

カバレッジ

対象は、エージェントがインストールされているデスクトップにアクセスしているユーザーのみです。

あらゆるマシンからのユーザーをカバー

すべてのマシンからのユーザーをカバー

課題

展開と大量展開には採用に関する問題があります。

 

多種多様なオペレーティングシステムのサポートも問題に拍車をかけている。

 

問題の緩和/マルウェアの除去は利用できません

エージェントレス展開によって提供される保護は、検出とアラートに関するほとんどのシナリオをカバーするため、コストが高くなります。

 

 

結論

金融セクターへの攻撃による利益が大きい時代において、組織は脅威を認識し、マルウェアによる金銭的損害やブランド損害を阻止するために最善を尽くす必要があります。

リソース