［インターネットの現状］／セキュリティ第 5 巻、第 4 号

金融サービスへの 攻撃エコノミー

目次

01 編集者より

02 最近の SYN-ACK リフレクション攻撃

04 概要

05 Akamai のリサーチ

06 パスワードの問題

07 金融攻撃のステージング

09 フィッシング

12 金融業界に対する攻撃の開始

12 数字で見る Credential Stuffing

13 数字で見る Web 攻撃

14 数字で見る攻撃タイプ

19 API と OFX

23 犯罪エコノミー

25 金融サービスへの攻撃：経験談

26 今後の展望 28 付録 A： 手法

30 付録 B： 補足データ

38 クレジット

[インターネットの現状 ]／セキュリティ 金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

01 | 編集者より金融サービス機関に対して使用される攻撃やツールは、複雑なエコシステムの一部分です。これはごく当然のことのように思えるかもしれませんが、さまざまな業界レポートを読んでみると、どれもエコシステム全体の 1 つの側面について、それが他の攻撃タイプとは無関係であるかのように取り上げる傾向があります。率直に言えば、私たちはみな攻撃トラフ

ィックを近視眼的に捉えるという罪を犯しています。

そこでこのレポートでは、少し異なる方向性を目指したいと思います。1 つの攻撃タイプだけを見るのではなく、一歩引いて、銀行、信用組合、証券会社など、金融サービスを構成する組織に対する攻撃の全体像を探ります。防御側、つまり攻撃の標的組織も防御ツールを提供しているベンダーも、トラフィック全体のごく一部しか見ていないケースがほとんどです。Akamai が提供する製品は広範にわたり、またインターネットトラフィックの多くの部分に対する可視性も有するため、さまざまな側面から攻撃エコノミーを調査することが可能です。

私たちが今日直面している攻撃のすべての側面を、 1 つの組織で検知し、追跡することは不可能です。しかし、優れたアナリストは、さまざまなタイプの攻撃データから得たインテリジェンスを広範な経験と結びつけることで、目撃している攻撃について理解を深め、それらが環境全体とどのように関連しているのかを把握できます。

データ漏えいと、それによるアカウントの不正利用に関するニュースは、ほぼ毎週のようにメディアを賑わせています。これらの攻撃で取得されたユーザー名とパスワードの多くは、大量の「ダンプ」として売買や取引の対象となり、これがサイトへの新たな攻撃試行を助長しています。

「インターネットの現状／セキュリティ」レポートの今号では、まずパスワードの問題を分析し、さらに犯罪エコノミーのさまざまな側面からデータを考察します。銀行、信用組合、その他の金融機関のアカウントは、攻撃者に最も狙われる標的となっていますが、攻撃の最終目標はいつでも変わらず、標的から犯罪者のポケットへと金銭を移すことです。フィッシングでも、Credential Abuse でも、分散型サービス妨害攻撃（DDoS）でも、またその他のタイプのツールであっても、ほとんどの攻撃は金銭を目的としたものであり、そのためにエコシステムが構築されているのです。

金融サービスシステムを標的とする攻撃は、あらゆる

組織や企業にとって注視すべき対象です。銀行サービスに対して使用される手法、ツール、手順に成功の

兆しが見えれば、それらは他のタイプの標的へと拡大します。セキュリティに関してよく目にする警告ですが、問題は自分のデータやシステムが標的になるかどうかではなく、「いつ」標的になるかです。このエコシステムは金融サービスだけでは終わりません。

概要• Akamai の記録によると、記録したフィッシングドメインによるなりすましを受けた組織の 50% が金融サービス業界でした。

• Akamai が把握したデータでは、世界の悪意あるログイン試行の 6% 以上が金融サービス業界を標的としたものでした。

• Akamai の計算では、金融サービス業界に対する攻撃の 94% に 4 つの手法：SQL インジェクション（SQLi）、ローカル・ファイル・インクルージョン（LFI）、クロスサイトスクリプティング（XSS）、OGNL Java インジェクションのいずれかが使用されていました。OGNL Java インジェクションを使用した攻撃試行は、このレポートの対象期間に

800 万件を超えています。

[インターネットの現状 ]／セキュリティ 金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

最近の SYN-ACK リフレクション 攻撃

02

250

M

2019 年 3 月、金融サービス業界の一部の組織で、TCP SYN-ACK パケットを使用してデータセンターを飽和状態にする DDoS 攻撃が観察されるようになりました。このタイプの攻撃は、標的に及ぼす影響が限定的であるため、あまり使用されていません。 単刀直入に言うなら、技術的な知識やネットワーキングに対する理解が乏しい攻撃者が使用する手法なのです。

しかし、これらの攻撃をさらに調査すると、こうしたうわべの見方では捉えきれないことがわかってきました。一般的に、このスタイルの攻撃は標的に

最小限の影響しか及ぼさないため、トラフィックが無視されやすいという傾向があります。しかし、 影響を受ける標的数とこのトラフィックに起因する二次的影響という 2 つの面で、これらの攻撃は以前の SYN-ACK フラッドとは異なります。

TCP SYN-ACK フラッドは比較的まれにしか発生しないため、Akamai がよく見る他の攻撃スタイルよりも簡単に把握できます。Akamai のリサーチャーがこのトラフィックについて同僚や同業者と意見交換をしたところ、複数の組織でネットワーク上に同様の

パケットが生じていることが明らかになりました。さらに、この攻撃の大部分は金融サービス業界の

組織を標的としていることもすぐにわかりました。

判断が難しかったのは、これらの攻撃による二次的な影響です。それこそが主要な攻撃ベクトルとして

TCP SYN-ACK を使用する真の意図かもしれません。この攻撃では、リフレクターに SYN-ACK を送信させるためにオリジナルの SYN パケットが使用されますが、リフレクターはこのオリジナルの SYN パケットを SYN フラッド攻撃とみなし、なりすまされた IP

アドレスを攻撃者としてタグ付けします。これにより、金融サービスの IP アドレスがブラックリストに掲載されるという二次的影響が生じ、防御側にさらなる問題をもたらします。

つまり、悪意を持って金融サービス組織を攻撃者として誤認識させることで、防御ツールおよびツールメーカーの評判を傷つけることが目的とも考えられるのです。特に大きな影響を被ったのは Spamhaus

Project でした。突然悪意あるアドレスとしてリストに掲載された企業のセキュリティチームから、その理由を問い詰める怒りの電話を受けたのです。このレポートの執筆時には、攻撃の責任を問う動きはなく、また直接的な証拠もありませんでした。

標的の IP レピュテーションやレピュテーションツールに対する二次的な影響が意図的なものであったという決定的な証拠を見つけることは困難です。しかし、Spamhaus のような組織が真の標的だったという説は、その後攻撃者が手法を適応させたことで、さらに有力となっています。時間の経過とともに、攻撃者は影響を拡大するためにトラフィックを変更し、なりすましの User Datagram Protocol（UDP）トラフィックを組み入れるようになりました。マルチプロトコル攻撃は珍しいものではありませんが、キャンペーン中に攻撃者が戦術を変えるのはまれ

です。

これらの攻撃は、長期的には限られた影響しかなく、また頻度も低下しています。この手法による初期の効果は、防御側が攻撃による一次的損害と二次的損害を両方理解したことですぐに最小化されました。組織間のコミュニケーションが功を奏して、今後この手法が金融サービスに通用する可能性は低くなるはずです。ただし、組織間のまとまりのあるコミュニケーション戦略に乏しい他の業種が次の標的となる可能性もあります。

当初は素人が金融機関に DDoS 攻撃をしかけたように見えましたが、やがて 二次的な影響が明らかになりました。

3[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

金融サービス業界は、攻撃者から大物として標的にされやすい業界です。金融サービスは信頼とセキュリティをビジネスの中核としているため、犯罪者はこれらの要素に狙いを定めることが非常に多いのです。

攻撃が成功すればすぐに大量の個人情報が流出し、攻撃者は金銭を得ることができます。金融サービス業界を標的とする犯罪者は、 目的を達成するために、人、プロセス、アプリケーション、システムなど、さまざまなアタックサーフェスを活用します。

世界のどこに拠点があろうと、金融機関がシステムや顧客の安全を維持するためには、攻撃の最新の傾向を常に把握することが不可欠です。攻撃のエコシステム、異なるレイヤーが相互に作用するしくみ、それによって活気づくエコノミー、これらを理解することで、金融サービス業界の組織は優位に立つことができます。

概要04

[インターネットの現状 ]／セキュリティ 金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

Akamai のリサーチ05

250

M

パスワードの問題パスワードは世界のネットワークにおける単一障害点（Single point of failure）であり、また主要な識別手段でもあります。何百年も前から利用され、常に人間の存在とともにあるといっても過言ではありません。ローマの兵士は領地を守る手段として「合言葉」を使用し、第二次大戦中の連合軍も大規模作戦決行日に、フラッシュ（稲妻）／サンダー（雷鳴）などの合言葉を使用しました。

私たちがよく知っているパスワードの概念の登場は、IBM 7094 や Compatible Time-Sharing System（CTSS）オペレーティングシステムが開発されたコンピューティングの初期にさかのぼります。

1960 年代に認証手段としてパスワードを活用した

最初のシステムは、マサチューセッツ工科大の CTSS

でした。CTSS はパスワード関連のデータ漏えいを経験した最初のシステムでもあります。この事件については、CTSS の 50 周年を記念する記録レポートに

IEEE が文書を掲載しています。

1962 年の春、MIT のあるリサーチャーが週当たり

4 時間という CTSS の割り当てを超える作業時間を必要としていました。このリサーチャーはシステムのすべてのパスワードが保存されている場所を発見し、そのファイルに対するオフラインのプリントリクエストを送信しました。翌朝早く、リサーチャーはこれらのパスワードを取得し、これらの新たに

獲得した認証情報を使用して作業を継続しました。

調査のためのアクセスを目的としたパスワード不正利用から、大規模な犯罪エコノミーを支えるパスワード不正利用へと、私たちは長い道のりを歩んできました。しかし、今もなお、金融機関などのエンタープライズが直面する問題の多くはパスワードに起因しています。

長年、組織は複雑すぎるパスワードポリシーに依存してきました。長い文字列、数字、文字を必要とし、それらを頻繁に変更することが強制されます。これは、認証情報が簡単に推測される状況につながります。また、ずさんな保管や管理によって認証情報が簡単に取得されるというさらに悪い状況も誘発されます。なぜなら、パスワードが書き留められたり、複数のドメインやサービスに再利用されてしまうからです。同じ理由でエンドユーザーの状況もほとんど変わりません。

パスワードは両刃の剣であり、アイデンティティの管理は難しくなる一方です。犯罪者はアイデンティティポリシーの隙間を悪用しようとします。そしてこのような隙間から犯罪エコノミーが拡大していくのです。

6[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

パスワードの要件があまりにも複雑化 したため、攻撃者はユーザーのフラス トレーションを悪用できるようになりました。

250

M

金融攻撃のステージングAkamai は今年発行した「インターネットの現状／セキュリティ」レポートのすべてで、一般的な攻撃手法の 1 つとして Credential Stuffing を取り上げました。言うまでもなく、金融業界は Credential Stuffing を認識しているだけでなく、このタイプの攻撃を毎日のように経験しています。金融業界の組織は、こうした攻撃への対処法を身に着けてきましたが、完璧なシステムというものはありません。

ところで、Credential Stuffing とはどのような攻撃なのでしょうか？犯罪者はどこからデータを取得しているのでしょうか？

Credential Stuffing 攻撃は、総当たり攻撃の一種です（詳細は OWASP を参照してください）。基本的には、ログインフォームや API などの認証システムに対して、漏えいしたユーザー名とパスワードの組み合わせを自動的に挿入する攻撃です。

攻撃者はオールインワン（AIO）アプリケーションを使用して大規模な Credential

Stuffing を自動化します。AIO アプリケーションはほとんど費用をかけずに簡単に入手できます。たとえば、よく使用される SNIPR ツールの小売価格は約 20 ドルであり、 無料で提供されているツールもあります。「無料」は必ずしも全くの無料とは限りません。標的とするサービスやビジネスに応じたカスタム設定に料金を支払う場合もあります。いずれにしても、Credential Stuffing 攻撃を目論む者にとって参入の壁は低いといえ

ます。

AIO アプリケーションを入手しても、Credential Stuffing 攻撃の準備はまだ半分しか終わっていません。残りの半分を完了するためには組み合わせリストが必要です。このリストは、あらゆる Credential Stuffing

キャンペーンの主要な要素であり、その入手やコンパイルには多様な手段があります。

組み合わせリストを生成する最も一般的な手法に、データ漏えいに注目する方法があります。毎日のように、流出した認証情報がインターネットにさらされています。また、認証情報が保存されているのにセキュリティが確保されていないデータベースがオンライン上で発見され、密かにコピーされています。過去 10 年間、さまざまなデータ漏えいにより数億ものアカウントが露出してきました。そして、漏えいしたレコードの間で、ある共通のテーマが表面化し始めました。パスワードの使い回しです。

SNIPR の製品ページのスクリーンショット

[インターネットの現状 ]／セキュリティ　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号 7

250

M

Credential Stuffing のマスターリスト2019 年 1 月、ユーザー名、パスワード、E メールアドレスで構成されたダウンロードが Web にリリースされました。このリリースには「Collections #1-5」というラベルが付けられ、総データ量は約 1 TB でした。当時、メディアはこれらのデータダンプの発見について「最大の漏えい」として報じましたが、 実際はそれほど大げさなものではありませんでした。

事実、このリリースに含まれていた認証情報は、 ほとんどがすでに露出していたユーザー名とパスワードを集めたものだったのです。あるエキスパート（「Have I Been Pwned?」という Web サイトを

運営している Troy Hunt 氏）が Collection #1 を検証したところ、26 億行のデータのうち、重複を除いた

E メールアドレスとパスワードの数は 11 億のみであることがわかりました。これらをさらに調べると、重複を除いた E メールアドレスの数は約 7 億 7,300 万、重複を除いたパスワードの数は 2,100 万でした。

リリースが公になって以降、認証情報のコレクション（多くは E メールドメイン別にソートしたもの）がインターネット上のフォーラムに出現するようになりました。さらに時が経つと、これらのリリースから不良データが削ぎ落とされ、再びソートされて再配布されるようになりました。このコレクションのリリース、およびデータのスクラビングと再配布の目的は、パスワードが共用または使い回されている可能性の高いアカウントを標的にすることでした。

パスワードの使い回しは Credential Stuffing 攻撃の成功を招く要因となります。スポーツフォーラムやビデオゲームでデータ漏えいが発生した場合、認証情報を繰り返し利用していると、E メールアカウントや銀行口座にいとも簡単に不正アクセスされてしまいます。必ずというわけではありませんが、一部の Credential Stuffing 攻撃には、オリジナルのパスワードリストだけでなく、並べ替えが活用されています。たとえば、パスワード「Scott123」が流出すると、並べ替えリストには、「scott123」、「Scott321」、「Scott1234」などが含まれます。

並べ替えは犯罪者にとって定番の手法ではなく、 一般には、標的として狙いを定めた組織や個人がいる場合にのみ使用されています。ある E メールアドレスまたはユーザー名が複数のデータ漏えいで発見され、それらに異なるパスワードが関連付けられていた場合、犯罪者はそのすべてのパスワードを試行します。その方が成功する可能性が高いからです。

「Collections #1-5」の認証情報の大部分は既知の

ものでしたが、数百万のパスワードと数億の新しい

E メールアドレスが追加されていることは見過ごせません。これらのリリースが広く知られるようになって以降、インターネット上では追跡可能な

Credential Stuffing 攻撃の流れが着実に発生しています。

8[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

このうち金融サービパスワードの使い回しは Credential Stuffing 攻撃の成功を招く要因となります。

「」

250

M

通常、Collections #1-5 に含まれていたような Credential Stuffing リストは、 特定の場所での取引や無料提供を通じて、それを求める人の手に渡ります。図 1

は、事前にコンパイルされた Credential Stuffing リストをダウンロードできるオンラインフォーラムです。この図を見ると、フォーラムのユーザーは、E メールプロバイダー、小売、ゲームなど、多様なオンラインサービスに特化したリストを作成し提供しています。さらに、フォーラムのメンバーはデータ漏えい時に露出したレコードの完全なアーカイブも共有しています。

ただし、これらのリストのデータのなかにはダークウェブで売られるものもあります。Credential Stuffing

リストはソートされ、ゲーム、エンターテインメント、金融サービスなど、いくつかのインターネットサービス向けとして販売されています。これらのリストに関連するコストは、地域、標的とするサービス、新鮮さ、ボリュームなどの要因によってさまざまです。

たとえば、メールプロバイダーと所在地別にソートされた 5 万件の

E メールアドレスとパスワードの

リストは約 5.50 ドルで入手できます。ただし、同じリストでも、オンライン金融サービスまたは現地の銀行に的を絞ったものは、販売価格が 3 倍になることもあります。一方、未検証の大量リストは数セントで売られることもあります。

フィッシング認証情報やクレジットカードデータなど、ダークウェブで何かを売買する際には、鮮度が重視されます。データ漏えいは新鮮なレコードを取得する手段の

1 つですが、もう 1 つ、すぐに成果が出ることの多い手段があります。それはフィッシングです。

フィッシングはセキュリティ業界や金融業界ではよく知られた攻撃ベクトルです。啓発キャンペーンが活発に行われているにも関わらず、いまだにフィッシングは脅威のトップに位置しています。

図 1 – 事前にコンパイルされた Credential Stuffing

用のリストをダウンロードできるようにしているオンラインフォーラム

9[インターネットの現状 ]／セキュリティ　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

250

M

10[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

2018 年 12 月 2 日から 2019 年 5 月 4 日までの期間に、Akamai は 19 万 7,524 件のフィッシングドメインを検知しました。図 2 のとおり、これらの 66%（13 万 242 件）は消費者、34%（6 万 7,282 件）はエンタープライズ組織を標的としたものでした。

エンタープライズを標的としたフィッシングドメインに注目すると、その 100% がハイテク業界のサイトになりすましたものでした。ただし、図 3 のとおり、消費者を標的としたフィッシングドメインのみを見ると、 金融機関が最も多くなっています。実際、Akamai のデータによると、追跡したフィッシングドメインのうちなりすましを受けた組織（重複を除いた数）の 50% は金融業界に属していました。

99,077

45,389

12,202

12,868

12,928

6,587

6,288

2,185

25,0000 50,000 75,000 100,000

&

新たに検知されたフィッシング Web サイトの内訳

2018 年 12 月～ 2019 年 5 月

図 2 – 新たに検知された全フィッシング Web サイトの内訳（2018 年 12 月 2 日～ 2019 年 5 月 4 日）

&

45,389

31,795

12,202

12,868

12,928

6,587

6,288

2,185

10,0000 20,000 30,000 40,000 50,000

消費者を標的とした新たなフィッシング Web サイトの内訳

（2018 年 12 月～ 2019 年 5 月）

図 3 – 消費者を標的とした新たなフィッシング Web サイトの内訳（2018 年 12 月 2 日～ 2019 年 5 月 4 日）

250

M

11[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

図 4 のとおり、時が経過しても、消費者を標的とした新しいフィッシングドメインの数はほぼ一定していますが、2018 年 12 月 20 日に顕著な急増が見られます。この急増はホリデー・ショッピング・シーズンのピークにあたっています。犯罪者がホリデーシーズンの買い物客を狙うのはよくあることなので、 特に珍しい現象とはいえません。

金融組織に対するフィッシングの影響を軽視すべきではありません。ブランドの評価が大きく損なわれるだけでなく、フィッシング攻撃が成功するたびに顧客のアイデンティティや資金の安全が脅かされます。フィッシングキットの多くは、ユーザー名とパスワード以外も標的としています。パスポートデー

タ、運転免許証データ、クレジットカード情報などの個人情報を収集するキットもあります。これらのデータポイントはいずれも、収集、販売され、さまざまな詐欺行為に使用されます。

フィッシング関連の攻撃の一種であるビジネスメール詐欺（BEC）も金融業界に深刻な影響を及ぼしています。このタイプの攻撃は、企業と個人を標的としていますが、いずれも目的は同じです。標的を

だまして資金を直接移動させるか、または金融記録

を流出させて、後日、金融関連の詐欺に利用する

ことです。FBI によると、BEC 攻撃による損失額は

2018 年に 12 億ドルに達しました。

図 4 – 時間が経過しても金融業界を標的とするフィッシングドメインの検知数は一定

0

2,000

4,000

6,000

8,000

2018 年 12 月 2019 年 1 月 2019 年 2 月 2019 年 3 月 2019 年 4 月 2019 年 5 月

業種 ハイテク金融

オンライン小売メディア

ソーシャルその他または不明

一般ゲーム & ギャンブル

消費者を標的とした新たなフィッシングサイト2018 年 12 月～ 2019 年 5 月

新たに検知されたフィッシングサイト

250

M

12[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

犯罪者は、Credential Stuffing のリストを入手し、AIO アプリケーションの設定を終えれば、実際に攻撃を開始することになります。規制の厳しい金融サービス業界は、セキュリティに最大の注意を払っています。つまり、単純にオートフォーカスのような攻撃（いろいろなユーザー名とパスワードを矢継ぎ早に使用して 1 つの

銀行を攻撃する手口）ではうまくいきません。そのため、金融サービスに対する攻撃のほとんどに Low &

Slow（少しずつ時間をかけた）アプローチが使用されています。

Low & Slow アプローチを採るには、いくつかのプロキシ設定を利用して、攻撃処理を一度に数十程度の試行に制限する必要があります。Akamai のデータを見ると、必ずしもすべての犯罪者が Low & Slow アプローチを採っているわけではありませんが、この攻撃が実行されている場合は把握が難しいという特徴があります。

数字で見る Credential StuffingAkamai はこのレポートのために、2017 年 11 月から 2019 年 4 月までの 18 か月間にわたり Credential

Stuffing 攻撃を追跡しました。この期間に、579 億 7,047 万 2,311 件の悪意あるログイン試行が確認され、 そのうち 35 億 4,753 万 3,230 件は金融サービス機関に対するものでした。全体的に見ると、世界の悪意あるログイン試行の 6.1% が金融業界を標的としたものでした。

0 M

50 M

100 M

150 M

200 M

250 M

300 M

2017 年 2018 年 2018 年 2018 年 2018 年 2018 年 2018 年 2019 年 2019 年

悪意あるログイン件数（

100 万単位）

その他 金融サービス

12 月 2 月 4 月 6 月 8 月 10 月 12 月 2 月 4 月

Akamai が確認した Credential Stuffing 攻撃2017 年 12 月～ 2019 年 4 月

金融業界に対する攻撃の開始

図 5 – 18 か月のレポート対象期間に Akamai が確認した Credential Stuffing 攻撃

250

M

13[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

犯罪者は DDoS 攻撃などの目くらましと同時に

Credential Stuffing 攻撃を試行することがあります。また、Credential Stuffing は省いて、標的ドメインのアプリケーションや Web サイトの脆弱性を悪用することもあります。

同じ 18 か月間における Web 攻撃全体に目を向けると、全業界で 44 億 6,036 万 7,847 件の攻撃が確認されました。金融サービスに対する攻撃だけに絞り込むと、この業界に影響を与えた攻撃はわずか 9%

超（4 億 1,140 万 9,583）でした。

図 6 – このレポートの対象期間に Credential Stuffing 攻撃をもたらした上位 5 か国（上位 20 か国は付録 B：補足データを参照）

Credential Stuffing の攻撃側上位 5 か国2017 年 11 月～ 2019 年 4 月

世界的に、金融サービス業界の組織に対する悪意あるログインが最も多いのは米国です。米国に次いで多いのは、中国、マレーシア、ブラジル、ドイツで、これらが上位 5 か国となっています。

数字で見る Web 攻撃

全体的に見ると、世界の悪意あるログイン試行の 6.1% が金融業界を標的としたものでした。

国 世界での順位 悪意あるログイン数 金融サービスへの悪意あるログイン数 金融サービスの割合

米国 01 18,542,844,141 1,133,026,190 6.11%

中国 05 2,077,424,958 251,719,283 12.12%

マレーシア 14 982,450,816 227,443,763 23.15%

ブラジル 03 3,197,885,812 173,176,382 5.42%

ドイツ 12 1,357,470,150 137,863,141 10.16%

「」

250

M

14[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

また、この期間における全標的数（重複を除いた数）の 14% を金融サービス業界が占めています。図 7 のとおり、時間の経過に伴い Web 攻撃の全体数は増加していますが、金融サービス業界に対する攻撃数は比較的一定しています。

数字で見る攻撃タイプ図 8 のとおり、Akamai が調査した金融サービス業界への攻撃の 94% に 4 つの手法：SQLi、LFI、XSS、OGNL Java インジェクションのいずれかが使用されていました。

0 M

10 M

20 M

30 M

40 M

2017 年 2018 年 2018 年 2018 年 2018 年 2018 年 2018 2019 年 2019 年

Web

攻撃

（10

0 万

単位

）

金融サービスが標的 その他 金融サービス

12 月 2 月 4 月 6 月 8 月 10 月 12 月 2 月 4 月

金融サービスにWeb 攻撃2017 年 11 月～ 2019 年 4 月

図 7 – 時間の経過に伴い、Web 攻撃は増加していますが、金融サービスに対する Web 攻撃の数は比較的一定しています。

Web 攻撃のベクトル別順位

図 8 – SQLi は今も金融サービスに対する最も一般的な攻撃ベクトルですが、OGNL Java インジェクションが含まれていることは注目に値します

ベクトル 総攻撃数 金融サービスへの攻撃数 金融サービスへの 攻撃の割合

SQLi 2,967,809,139 171,305,214 41.64%

LFI 1,050,852,414 166,790,717 40.54%

XSS 188,426,146 40,682,394 9.89%

OGNL Java インジェクション 31,827,918 8,569,324 2.08%

PHP インジェクション 103,604,265 8,169,148 1.99%

RFI 69,202,119 7,701,055 1.87%

コマンドインジェクション 29,332,277 5,787,050 1.41%

悪意あるファイルアップロード 19,313,569 2,404,681 0.58%

合計 4,460,367,847 411,409,583 100%

250

M

15[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

OGNL Java インジェクションの試行数はこのレポートの対象期間に 850 万件を超えています。この攻撃タイプは SQLi に次いで最も注意が必要なグループといえます。OGNL Java インジェクションの攻撃回数の多さから

思い起こされるのは、Apache Struts への攻撃です。Apache Struts は、パッチが利用可能になって 2 年経過していても、いまだに金融サービス業界を標的とした犯罪によく使われています。

2017 年 7 月 7 日に CVE-2017-9791 が公開され、一部の小売、保険、金融ベースのバックエンドシステムに

影響が生じました。そのなかには、Struts 1 プラグインを使用する Struts 2.3.x（Version 2.3.33 より前のもの）が稼働するシステムも含まれていました。このプラグインには、開発者が Struts 2 アプリケーションに既存の

Struts 1 Actions や ActionForms を使用できるようにする機能があります。この脆弱性により、影響を受けるサーバーではリモートからコードを実行することが可能になります。この CVE の悪用は Metasploit に含まれ、公開されました。これはつまり、わずかな知識しかなくても誰でも簡単に脆弱なシステムをスキャンし、そのシステムを狙うことができるということです。

図 9 のとおり、Akamai の調査では、金融サービス業界に関連した Web 攻撃のほとんどが銀行を標的にしたもので、これにカードサービス、保険、金融取引が続いています。

50.6%

15.7%

14.5%

8.6%

5.7%

1.8%

1.1%

0.7%

0.6%

0.4%

0.3%

0 M

&

FinTech

&

50 M 100 M 150 M 200 M

金融サービスの各業種に対する Web 攻撃

図 9 – このレポートの対象期間中、最も Web 攻撃の標的となったのは銀行でした。

Apache Struts への攻撃は、金融サービス業界を 標的とした犯罪に今もよく使われています。

「」

250

M

16[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

金融機関に対する Web 攻撃が成功すると、データ漏えいなどによって生じる可能性のある評判（レピュテーション）への影響だけでなく、クリーンナップや回復に数百万ドルのコストがかかり、悲惨な結果となる可能性があります。安全で堅牢なアプリケーションや一般公開されているウェブサービスの開発に大きなリソースを投じていても、開発と品質保証のチェックには見逃しが生じることがあり、犯罪者はこれを悪用しようと狙っています。

DDoS 攻撃どのような組織でも DDoS 攻撃は問題ですが、特に金融サービス業界にとっては深刻です。 金融業界への DDoS が成功すれば、その停止期間中、毎分数百万ドルの損失が生じる可能性があります。

これまでも述べてきましたが、犯罪者は Credential Stuffing 攻撃を仕掛けるため、あるいはウェブベースの脆弱性を悪用するための目くらましとしても、DDoS 攻撃を利用することがあります。同じ 18 か月間のデータセットで、Akamai が追跡した金融サービス業界に対する DDoS 攻撃は 800 回を超えていました。

2017 年 11 月から 2019 年 4 月にかけて、攻撃の総数という点で最大の標的となったのは攻撃数が 9,000 件弱にのぼった（図 10 を参照）ゲーム業界でしたが、重複を除いた標的数が最も多かったのは金融サービス業界でした。この 18 か月の期間中、DDoS の標的（重複を除いた数）に占める金融サービス業界の割合は 40% を超えています（図 11）。

0

&

&

&

&

&

&

2,0001,000 4,0003,000 6,0005,000 7,000 8,000 9,000

DDoS

DDoS — 攻撃イベント数2017 年 11 月～ 2019 年 4 月

図 10 – ゲーム業界は Akamai が確認した DDoS の最大の

標的であり、攻撃数は 9,000 弱でした

0

&

&

&

&

&

&

20%10% 40%30%

DDoS — 標的数（重複を除いた数）2017 年 11 月～ 2019 年 4 月

図 11 – 重複を除いた DDoS 標的数を見ると、金融サービスがリストの最上位に移動し、ゲーム業界は 3 番目に落ちています

250

M

17[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

図 12 を見ると、1 秒当たりのビット数（bps）の中央値（median）については、金融サービスに対して観察された DDoS 攻撃が他の業界よりも高くなっています。金融サービス業界は標的数（重複を除いた数）が最大であるだけでなく、最も悪意あるトラフィックを受けているようです。他の業界と比較すると、金融サービス業界は

1 秒当たりのパケット数（pps）の中央値が大幅に高くなっています（図 13）。

0

0.2

0.4

0.6

0.8

105104 106 107 108 109 1010 1012 10131011

攻撃の密度

ピーク bps（ログスケール）

金融サービス

その他

bps の中央値1,016,437,307

bps の中央値1,735,264,281

攻撃密度 — 1 秒あたりのピークビット数

図 12 – bps を追跡すると、金融サービスは他の業界よりも激しく攻撃されているようです（曲線下の面積は合計 1 になり、インターバル下の面積はそのインターバル内に生じた攻撃の割合を表すことに留意してください）

0

0.2

0.4

0.6

0.8

105104 106 107 108 109 1010 1012 10131011

攻撃の密度

ピーク pps（ログスケール）

pps の中央値170,085

pps の中央値537,223

金融サービス

その他

攻撃密度 — 1 秒あたりのピークパケット数

図 13 – 金融サービス業界で確認された pps の中央値は他の業界よりも大幅に高くなっています

250

M

18[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

金融サービス業界に対する最も一般的な DDoS 攻撃は、SYN フラッド、RESET フラッド、TFTP フラッド、TCP フラグメントフラッドでした。ただし、この業界では多数の攻撃バリエーションが観察されています。 つまり、銀行や証券会社は気を抜くことなく広範な防御に力を入れる必要があります。1 つか 2 つの一般的な攻撃タイプの防御では不十分です。

0

ACK

CharGEN

CLDAP

DNS

FIN

FIN PUSH

GET

GRE

HEAD

ICMP

mDNS

Memcached

Netbios

NTP

POST

PUSH

RESET

RIP

RPC

Sentinel

SNMP

SQL

SSDP

SSL GET

SSL POST

SYN

SYN

TCP

TCP

TFTP

UDP

UDP

XMAS

50%25% 100%75%

DDoS

DDoS ベクトル

2017 年 11 月～ 2019 年 4 月

図 14 – DDoS 攻撃タイプの内訳（金融サービス業界と他のすべての業界の比較）

その他金融サービス

250

M

19[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

API と OFX犯罪者は認証メカニズムを標的にします。金融サービス業界にとって、これは一般的に API プロセスやログインを伴うアプリケーションです。金融機関は

Open Financial Exchange（OFX）プロトコルを使用して、金融機関同士でデータを処理したり、サードパーティアプリケーションにデータを提供したりします。

OFX は 1997 年に作成され、バージョン 2.2 にアップデートされていますが、多くの組織がまだ、これより古くセキュリティの劣る 1.x バージョンでデータを処理しています。2006 年には、OFX バージョン

1.0.3 に、顧客の母の旧姓、生まれた場所、最初に就いた仕事などのフォローアップ質問など、基本的な多要素認証が追加されました。これは適切な方向への進歩ですが、確実な保護手段とはいえません。

OFX を通じた Direct Connectアクセス（顧客対銀行）では、ほとんどの場合、ユーザー名とパスワードさえあれば API を通じてトランザクションが実行されます。犯罪者は Direct Connectによって顧客詳細を入手していれば、資金やアイデンティティ情報を盗むといった金融詐欺を行うために必要なものがすべて揃うことになります。

これを知っている犯罪者は、通常の顧客のように見えるトラフィックを作成するという方法を採ります。銀行は、多数の中から異常を検知することに関して知識を付け始めていますが、金融機関へのセキュリティの追加を考えるうえで、OFX 2.2 の普及が進んでいないことは懸念材料といえます。特に、Open

Authorization（OAuth）とトークン化の普及により、認証データを集約する場合が問題となります。

Akamai が把握しているトラフィックから 14 日間のデータを使用して OFX の利用を検証してみたところ、興味深い結果が得られました。

確認されたログイン試行総数 2,196 万 2,978 件のうち、33%（737 万 9,074 件）がログインに失敗していたのです。確かに、これはサンプル数が少なく、重複を除いたお客様数は 7 つにすぎません。データ自体にはログインが悪意のあるものであるというラベルはなく、わかるのは「失敗」か「成功」かだけであるという点も留意する必要があります。しかし、失敗したログインを調べてみると、驚くべきパターンがいくつか明らかになりました。

全般この 14 日間に確認されたログイン試行（失敗と成功）の約 90%、つまり 1,970 万 6,106 件に OFX

v1.x が使用され、残りの 225 万 6,872 件には OFX

2.x が使用されていました。興味深いのは、1.x が使用されたログインの 37% が失敗していたのに対し、2.x は 0.2% 程度だったことです。

Akamai は 2,100 万回を超える OFX ログイン 試行を確認しましたが、そのうち

33% はログインに失敗していました。

250

M

20[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

図 15 を見ると、成功しているログインは、営業日には定期的な上昇があり、週末にはログイン要求が減少するようです。毎時間、少数ですが一定数のログイン失敗が発生しています。1 時間当たりの失敗率の中央値は

3% 弱です。4 月 18 日の最後の数時間は、失敗率が 94 % に急上昇しています。Akamai は昨年数十億件の

Credential Stuffing 試行を監視しました。その経験から、これらの失敗ログインは Credential Stuffing 攻撃によるものではないかと考えています。経験に基づくこの推測は、これらのデータに対する他の知見からも裏付けられています。

失敗と成功この 14 日の期間には 189 万 6,530 件のユーザー名（重複を除いた数）が確認されましたが、これらの 29.9%

は失敗率が 0% でした。ユーザー当たりの成功ログインの平均値は 17 回、中央値は 12 回、最大値は 5,225 回

でした。最大値が高い原因は不明です。

0

200,000

400,000

600,000

4 月 14 日日

4 月 15 日月

4 月 16 日火

4 月 17 日水

4 月 18 日木

4 月 19 日金

4 月 20 日土

4 月 21 日日

4 月 22 日月

4 月 23 日火

4 月 24 日水

4 月 25 日木

4 月 26 日金

4 月 27 日土

4 月 28 日日

リクエスト数

ログイン結果 成功 失敗

ログイン結果 — OFX 認証手法2019 年 4 月 14～ 28 日

図 15 – 日々の OFX トラフィック（失敗と成功の両方のログイン）

250

M

[インターネットの現状 ]／セキュリティ 金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

利用可能な情報に基づき、お客様について考慮すると、最大値がこのように大きいのは、金融サービス業界ではよくある自動化とサードパーティの接続が原因ではないかと推測されます。

失敗したログインについて調べたところ、失敗率が

90%～ 100% のユーザー名の割合が 65.74% となりました。失敗ログインのユーザー当たりの平均値は

4 回、中央値は 1 回、最大値は 4,601 回でした。これも最大値が高い原因は不明です。ただし、古い認証情報を除き、他のデータポイントや Akamai が

2019 年 4 月に OFX 攻撃をいくつか調査した事実と比較すると、この数値は大規模な Credential Stuffing

と一致します。

大規模な Credential Stuffing では、サービスが AIO

アプリケーションの標的となり、攻撃者は複数の同時接続（通称、スレッディング）を確立するためにプロキシをいくつかロードし、察知されないようにユーザー名とパスワードのリストを一定のペースでテストします。

ユーザー名の数（重複を除いたもの）はデータからわかり、また Credential Stuffing リストによっては、攻撃時に 1 つのユーザー名で複数のパスワードまたはパスワードのバリエーションが試行されることもわかっています。したがって、多数の失敗ログインは攻撃の兆しと考えられます。

図 16 はこれを図示し、内訳を示したものです。最初のバーは失敗率が 0%～ 10% のユーザー総数を表しています。最後のバーは失敗率が 90% ～ 100% のユーザー総数です。

ログイン結果 — ユーザー名数（重複を除いた数）と失敗率

図 16 – ユーザー名別のログインの失敗と成功

[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

0

400,000

10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

800,000

1,200,000

31.62%

0.63% 0.05%0.96%0.33% 0.52% 0.08% 0.05% 0.02%

65.74%

21

250

M

22[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

他のログインデータや成功率の計測値を見ると、図 17 のとおり、失敗ログインは成功ログインと比べて、 IP 数は 1.5 倍、Transport Layer Security（TLS）フィンガープリントは 22 倍、ユーザー名の数は 2 倍となっています（いずれも重複を除いた数）。

重複を除いた TLS フィンガープリント数も Credential Stuffing 攻撃の指標となります。全 TLS フィンガープリントの 95% 以上が失敗率 90% 以上、しかも 167 万 2,519 のフィンガープリントは失敗率が 100% でした。

今年初め、Akamai は Cipher Stunting に関する調査を発行しました。Cipher Stunting では、犯罪者は検知を回避するために TLS フィンガープリントをランダム化します。このデータはこうした行為を示すものであり、金融サービス業界がこのタイプの攻撃の重要な標的であることの証拠だと考えられます。

ログイン結果 — データタイプ

0

500,000

1,000,000

1,500,000

IP アドレス TLS フィンガープリント ユーザー名

発信元の特性

インスタンス数（重複を除いた数）

ログイン結果失敗

成功

図 17 – 失敗または成功別ログインデータとデータタイプの内訳

ログインの失敗 — TLS フィンガープリント数（重複を除いた数）

0

500,000

0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1.0

1,000,000

1,500,000

0.22% 0.00% 0.00%4.30%0.00% 0.00% 0.00% 0.00% 0.00%

95.47%

失敗率

TLS フィンガープリント数（重複を除いた数）

図 18 – TLS フィンガープリントの内訳

250

M

23[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

犯罪エコノミー 攻撃が成功に終わった後で、犯罪者が利用できるデータの量は、標的とする組織によってさまざまです。犯罪者にとっては金融サービス業界全体が情報とリソースの宝庫であり、それらに関連するすべてに価値があります。

犯罪エコノミーは、その大部分が金融サービスのデータによって維持されているともいえます。価格は上下しますが、金融情報の市場流通量は常にほぼ安定しています。このレポートの執筆時には、あるダークウェブフォーラムが米国でバンクドロップとして利用できる新しいアカウントを大量に提供していました。

バンクドロップとは所定の金融機関で口座を開設するために使用できるデータとサービスのパッケージです。売り手が買い手のためにバンクドロップを作成、開発し、必要な詳細またはサービスを提供する場合もあれば、売り手は必要な情報を提供するだけで、買い手が自分でバンクドロップを作成する場合もあります。

各バンクドロップには盗まれた個人情報が含まれます。これは、「fullz」と呼ばれることもあり、姓名、住所、誕生日、社会保障番号、運転免許証データ、信用スコア詳細、1 か月間のセキュア Remote

Desktop Protocol（RDP）接続へのアクセスなどが含まれています。RDP はクリーンです。つまりドロップの作成以外には悪意ある者や詐欺に使用されたことはなく、コンピューターの所在地は盗まれたアイデンティティの場所や銀行の支店と一致します。

現在は、大手銀行 2 行のドロップが口座当たり

150 ドル、200 ドル、250 ドルで販売されています。価格の差は追加されるサービスによって決まります。最も低価格のパッケージは新たに作成されたドロップのみですが、他の 2 つには口座関連の通信や銀行カードの配布のために使用できるメールドロップが追加されています。

これらのパッケージには、口座のユーザー名とパスワード、セキュリティのための質問と回答、銀行支店番号と口座番号に加え、必要に応じて SMS を受信したり、音声確認のために銀行に電話をかけることのできるローカル VoIP または SIM カードの番号も含まれています。

別の売り手は異なるコンシューマーバンク 7 社の

1 つで利用できる所蔵しているドロップを 300 ～400 ドルの価格で提供しています（図 19）。最も価格が安いのはランダムなバンクドロップです。それ以外は購入者が銀行を選択できます。最上位価格の商品には、銀行の選択に加え、検証済みの有効なウェブベースの支払い処理用アカウントが含まれてい

ます。

図 19 – ダークウェブにおける民間銀行のドロップの販売広告

250

M

24[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

パッケージには、アイデンティティ情報の詳細なセットだけでなく、25～ 50 ドルの開始デポジットが含まれています。しかし、この商品の強力なセールスポイントは作成されて数日の口座であり、買い手のために売り手が作成したものであるという点です。

さらに、2 番目の売り手のアイデンティティキットには、住所の履歴情報、以前の雇用記録、親戚に関する情報および親戚の連絡先詳細も含まれています。技術上およびセキュリティ上の理由から、この商品にはポータブルブラウザーおよびアカウント作成時に割り当てられたすべての関連 Cookie のコピーも含まれています。

銀行がこのドロップを検知して閉鎖し、アクセス権を回復するための音声確認がうまく機能しなかった場合は、どちらの売り手も一定の条件のもとで交換商品を無料提供するとしています。

これらのドロップアカウントの目的はキャッシュアウトされる資金の保管場所を提供することです。キャッシュアウトは、不正利用された銀行口座から

の預金の全額引き出し、盗まれたクレジットカードの限度額までの使い切り、またはデジタル通貨の現金化のプロセスを表す用語です。いずれにしても、犯罪者はこうした資金を安全に保管し利用するために銀行を必要とします。しかしここ数年で、キャッシュアウトは難しくなってきました。

キャッシュアウトは犯罪者にとって手間のかかるプロセスであり、大きなリスクが伴います。実際、 リスクが高いために多くの犯罪者は、ほとんどの犯罪的な仕事にカットアウトやマネーミュールを使います。通常、これらは在宅でできる仕事として犯罪者がいくつかの場所に求人広告を出します。

一連のドロップを持つ犯罪者はそれらを利用して資金を洗浄できます。ただし、金融機関には厳格な報告およびセキュリティのルールがあるため、こうしたドロップの利用は以前ほど一般的ではなくなりました。その代わり、犯罪者は資金をデジタル通貨にして、ウェブベースの洗浄サービスを利用し、徐々にドロップアカウントにキャッシュアウトします。

24[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

キャッシュアウトは犯罪者にとって手間の かかるプロセスであり、大きなリスクが 伴います。

「」

金融サービスへの攻撃：経験談

25

金融サービス業界では、Credential Stuffing は現実的な脅威です。資金を扱う組織とその顧客に影響を及ぼします。Credential Stuffing 攻撃が成功すると、大見出しで報道されることもありますが、少なくとも公には、個人が実際に受けた影響について語られることはめったにありません。

私は Credential Stuffing 攻撃の標的になりましたが、幸い被害者にはなりませんでした。Credential Stuffing 攻撃の被害者にならずに済んだ理由は 2 つ考えられます。

第 1 の最も重要な理由は、私の銀行が攻撃を阻止したことです。2019 年 4 月 27 日の午前 4:30 ごろ、銀行から、「間違った認証情報での試行が複数回あったため」、私のサービスがオンラインも電話も一時停止されたとの E メールが届きました。

何かが発生したのだとわかりました。この 12 時間ほど前に、私のソーシャル・メディア・アカウントの 1 つにパスワードリセット要求がありました。また同じ頃、その他のいくつかのアカウントからログインの失敗に関する警告があったり、私に確認コードを入力させようとする試みがあったりもしました。 私は偶然の一致を信じるタイプではありません。 基本的な総当たり攻撃にしては試行数も影響アカウントも多すぎます。誰かがリストを使用したのです。

銀行口座の所有者確認を行い、念のためパスワードを変更したところ、アクセス権は回復しました。この状態は 24 時間だけでしたが、その後また同じ理由でアカウントが使用不可となりました。再度確認とパスワードリセットを行うことで、正常に利用できるようになりました。

運がよかったと思います。私の銀行はログインの失敗に細かく注意を払い、躊躇せずにアカウントを無効にしてくれました。攻撃が成功していたら、自動車ローンの支払い資金の入った口座とそれに関連した個人情報を失うところでした。

同じ銀行を利用している人と話したところ、やはりその週は大変だったようです。話をした人はみな、同じ理由でアカウントが無効になったと言っていました。

私たちは同じ銀行を利用し、攻撃者が配布している Credential Stuffing リストに載っていましたが、 攻撃の犠牲になることは回避できました。それは、私たちが他と重複しないパスワードを使用していたことと、口座に関するこの銀行のすべての防御や通知を活用していたおかげです。

そして、私が Credential Stuffing の被害者にならずに済んだもう 1 つの理由は何でしょうか？私は、 犯罪者が利用しようとしたパスワードとそれがど こから取得されたものなのか知っていました。そのパスワードは使用ドメインに関連付けられていて（domain123 など）、弱いパスワードとしてタグ付けされていたのです。当時は、パスワードを登録した Web サイトを信用せず、アカウントが不正利用されるかどうかなど気にしていませんでした。今年の始め、大量のユーザー名とパスワードの組み合わせが Web 上に出現した際、タグ付けされた私の認証情報がダンプ内にあることを発見しました。

私はこの種の攻撃がいつか発生すると思いましたが、成功はしないだろうという確信がありました。自信過剰でしょうか？そうかもしれませんが、私は自分のパスワードを混用していないのです。銀行のパスワード 、E メールのパスワード、ソーシャルメディアのパスワードなどはどれもまったく関連していませんし、正直言うと、自分のほとんどのパスワードを覚えていないのです。重要なパスワードの管理には、パスワードマネージャーを使用しています。

しかしそれでもなお、私は運がよかったと素直に認めます。問題は、運が悪かったときです。セキュリティプロフェッショナルでもこうしたことがあるのです。今は、用心深く自分のアカウントを監視し、アカウントのセキュリティに関しては一歩先を行けるように務めています。これは誰にでもできることです。 これで十分だと思うしかないともいえます。

[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

Steve Ragan Sr. Technical Writer

Editor、インターネットの現状／セキュリティ

[インターネットの現状 ]／セキュリティ 金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

今後の展望26

27[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

250

M

銀行と犯罪者のいたちごっこが終わらないのは、 犯罪エコノミーの中核と結びついているからです。犯罪者は銀行を標的するだけでなく、不正な手段で得た利益の処理にも利用しています。

金融サービス業界は毎年セキュリティに数十億ドルを投じることで、犯罪エコノミーを明るみに出してきました。これまでは、不正アカウントの検出に数週間かかっていましたが、今は、このようなアカウントが数時間で消える可能性があります。これは、維持年数の長い口座のドロップアカウントが高額で売られる理由にもなっています。このタイプの犯罪に関連するリスクとプレッシャーは膨大なものになっていくと考えられます。

金融業界への攻撃は階層化されたアプローチで実施されます。Credential Stuffing やフィッシングからアイデンティティの窃盗や DDoS 攻撃に関連した目標まで、こうした犯罪行為のいずれにも成功の保証はありません。

たとえば、2019 年 4 月、ペンシルバニア州のある男は資金洗浄とアイデンティティの窃盗で 64 か月の禁固刑および釈放後 3 年間の監視の判決を受けました。この男は 2 年以上にわたり、カード詐欺とキャッシュアウトを行い、警察による最初の摘発後もこの不正行為を続けていました。また、フィッシングや

Credential Stuffing 攻撃の際に犯罪者が標的とするデータと同じタイプのデータを使用し、盗まれたアイデンティティ情報や盗まれたクレジットカードを活用してギフトカードおよびその他の商品を購入し

ていました。それらを再販売して、使える現金に換えていたのです。この男およびその兄弟がこの連続犯罪で洗浄した資金は合計 21 万 8,000 ドルを超えました。

2018 年にはカリフォルニア州の男が、デバイスへの不正アクアス（盗まれたり偽造されたりしたクレジットカード、デビットカード、口座番号、その他の金融アカウント情報の利用など）とアイデンティティ窃盗の容疑で有罪となりました。裁判資料によると、いくつもの箱に盗難または偽造された文書、銀行カード、ID が詰められているのを警察が発見しました。公開法廷の合意形成で、この男は被害者の情報をオンラインアカウントの乗っ取りなど、いくつかの手段で取得したことを認めました。この連続犯罪によって少なくとも 55 万 8,276 ドルの損害が生じました。

ここ数年で、犯罪者は金融業界の扱い方についての知識を蓄積してきました。窃盗を目的とした計画が何百件も実施されましたが、金融サービス業界の方も、それらを検知して阻止するプロセスを何百も開発してきました。

セキュリティエコシステムの拡大と規制管理の強化によって、金融機関はセキュリティの知見を着実に拡げつつあります。かつてのような容易い標的ではなくなった金融機関に犯罪者が攻撃をしかけるには、かなりの努力が必要となり、また、個人的なリスクも以前よりはるかに大きくなっています。

いずれにしても、Akamai のレポートにおいて犯罪が難しくなるのは喜ばしいことです。

これまでは、不正アカウントの検出に数週間かかっていましたが、今は同じアカウントが 数時間で消える可能性があります…

27[インターネットの現状 ]／セキュリティ 　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

「」

[インターネットの現状 ]／セキュリティ 金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

付録 A：手法28

29[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

250

M25

0 M

一般注意事項「インターネットの現状／セキュリティ」レポートの作成チームはできる限りわかりやすく正確にデータを示すよう努めています。

Web 攻撃 Akamai Intelligent Edge Platform は世界中の何千ものネットワークに配置された 23 万台以上のサーバーで構成されているネットワークです。これらのトラフィックの保護には Kona WAF が使用され、攻撃に関する情報は Cloud Security Intelligence（CSI）という内部ツールに供給されています。このデータは、ペタバイト／月の単位で測定され、攻撃の調査、傾向の把握、Akamai ソリューションへのインテリジェンスの追加のために使用されます。そのようなデータから毎日数百万件のアプリケーションレイヤーのアラートが通知されますが、これらのアラートのすべてが不正侵入の成功を示しているわけではありません。

このセクションに示されている図表は、2017 年 11 月 1 日から 2019 年 4 月 30 日までの期間の記録に限定されています。

Credential Abuseこのセクションのデータも CSI リポジトリから抽出されたものです。Credential Abuse の試行は、メールアドレスをユーザー名として使用しているアカウントに対するログイン試行の失敗として識別されます。実際のユーザーではタイピングできないような Credential Abuse の試行を識別するためには、2 つのアルゴリズムが使用されます。最初のアルゴリズムは、特定のアドレスに対するログインエラーの数をカウントする、ボリュームを基にした単純なルールです。Akamai では、数百の組織のデータを相関分析にかけているため、単独の組織のみで検知が可能な内容とは別物です。

2 つ目のアルゴリズムでは、Akamai のボット検知サービスから提供されるデータを使用して、既知のボットネットとツールから Credential Abuse を識別します。綿密に設定されているボットネットは、多くの標的へのトラフィックの配信、多数のシステムを使用したスキャン、時間をかけたトラフィックの拡散などの方法で、ボリュームに基づいた検知を回避できます。

これらの記録は 2017 年 11 月 1 日から 2019 年 4 月 30 日までの期間に収集されたものです。データをさらに収集していくことで、今後のレポートの対象期間は 2 年間とする予定です。

[インターネットの現状 ]／セキュリティ 金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

付録 B：補足データ30

250

M

[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号 31

以下の図表は、「インターネットの現状／セキュリティ」レポートの本文に掲載された図表の一部について、 地域的な差異を示したものです。これらは、南北アメリカ、アジア太平洋（APAC）地域と、ヨーロッパ、中東、アフリカ（EMEA）地域に大きく分類されています。各地域の主な特徴を示すことが目的であり、Akamai のデータセット全体が図表に網羅されているわけではありません。

攻撃数

10 万未満

10 万～100 万

100 万～1,000 万

1,000 万～1 億

1 億～10 億

10 億～100 億

100 億超

データなし

Credential Abuse 攻撃の発信元 — 南北アメリカ

2017 年 11 月～ 2019 年 4 月

発信元国トップ 10 - 南北アメリカ

国 悪意あるログイン数 世界での順位

米国 18,542,844,141 01

ブラジル 3,197,885,812 03

カナダ 2,378,887,475 04

コロンビア 368,068,555 26

エクアドル 315,523,060 27

チリ 315,318,808 28

アルゼンチン 287,502,033 31

メキシコ 242,785,728 33

ベネズエラ 146,584,731 43

ドミニカ共和国 63,667,312 61

250

M

[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号 32

Credential Abuse 攻撃の発信元 — EMEA

2017 年 11 月～ 2019 年 4 月

攻撃数

10 万未満

10 万～100 万

100 万～1,000 万

1,000 万～1 億

1 億～10 億

10 億～100 億

100 億超

データなし

発信元国トップ 10 – EMEA

国 悪意あるログイン数 世界での順位

ロシア 5,389,826,207 02

オランダ 1,361,410,559 10

フランス 1,358,348,831 11

ドイツ 1,357,470,150 12

英国 1,086,213,915 13

ウクライナ 781,992,409 16

イタリア 621,338,014 17

エストニア 465,763,965 21

ポーランド 425,905,077 23

スペイン 386,650,197 24

250

M

[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号 33

Credential Abuse 攻撃の発信元 - APAC

2017 年 11 月～ 2019 年 4 月

攻撃数

10 万未満

10 万～100 万

100 万～1,000 万

1,000 万～1 億

1 億～10 億

10 億～100 億

100 億超

データなし

発信元国トップ 10 – APAC

国 悪意あるログイン数 世界での順位

中国 2,077,424,958 05

インド 1,920,491,902 06

タイ 1,640,054,754 07

インドネシア 1,513,477,516 08

ベトナム 1,441,658,127 09

マレーシア 982,450,816 14

シンガポール 808,087,821 15

日本 585,543,265 18

韓国 566,899,615 19

台湾 487,492,018 20

250

M

[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号 34

攻撃数

1,000 未満

1,000～10 万

10 万～100 万

100 万～1,000 万

1,000 万～1 億

1 億～10 億

10 億超

データなし

ウェブアプリケーション攻撃の発信元 – 南北アメリカ2017 年 11 月～ 2019 年 4 月

発信元国トップ 10 - 南北アメリカ

国 悪意あるログイン数 世界での順位

米国 1,045,462,552 01

ブラジル 173,458,367 05

カナダ 84,886,941 11

ベリーズ 82,136,387 12

パナマ 21,618,465 29

メキシコ 18,129,828 33

アルゼンチン 11,654,146 41

コロンビア 8,271,724 47

ベネズエラ 6,139,547 56

ペルー 5,474,860 62

250

M

[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号 35

ウェブアプリケーション攻撃の発信元 – EMEA

2017 年 11 月～ 2019 年 4 月

攻撃数

1,000 未満

1,000～10 万

10 万～100 万

100 万～1,000 万

1,000 万～1 億

1 億～10 億

10 億超

データなし

発信元国トップ 10 – EMEA

国 悪意あるログイン数 世界での順位

ロシア 696,598,218 02

オランダ 290,915,336 03

ウクライナ 172,452,097 06

フランス 126,120,125 08

ドイツ 120,111,620 09

英国 110,968,477 10

アイルランド 74,538,231 13

トルコ 67,507,268 14

ルーマニア 42,416,621 19

イタリア 36,639,168 21

250

M

[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号 36

攻撃数

1,000 未満

1,000～10 万

10 万～100 万

100 万～1,000 万

1,000 万～1 億

1 億～10 億

10 億超

データなし

ウェブアプリケーション攻撃の発信元 – APAC

2017 年 11 月～ 2019 年 4 月

発信元国トップ 10 – APAC

国 悪意あるログイン数 世界での順位

中国 231,988,372 04

インド 158,535,692 07

シンガポール 61,391,135 15

日本 52,130,143 16

インドネシア 46,226,484 17

タイ 43,687,041 18

香港 38,232,728 20

ベトナム 36,556,638 22

韓国 24,308,378 25

フィリピン 24,117,148 27

250

M

[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号 37

Credential Stuffing の攻撃側上位 20 か国2017 年 11 月～ 2019 年 4 月

国金融サービスへの

悪意あるログイン数悪意あるログイン数 世界での順位 金融サービスの割合

米国 1,133,026,190 18,542,844,141 01 6.11%

中国 251,719,283 2,077,424,958 05 12.12%

マレーシア 227,443,763 982,450,816 14 23.15%

ブラジル 173,176,382 3,197,885,812 03 5.42%

ドイツ 137,863,141 1,357,470,150 12 10.16%

インド 136,925,794 1,920,491,902 06 7.13%

インドネシア 135,309,307 1,513,477,516 08 8.94%

ロシア 126,486,202 5,389,826,207 02 2.35%

ベトナム 116,863,450 1,441,658,127 09 8.11%

フランス 99,191,945 1,358,348,831 11 7.30%

タイ 80,162,996 1,640,054,754 07 4.89%

韓国 69,014,099 566,899,615 19 12.17%

カナダ 61,212,463 2,378,886,475 04 2.57%

イタリア 40,111,943 621,338,014 17 6.46%

ウクライナ 39,497,555 781,992,409 16 5.05%

英国 39,401,694 1,086,213,915 13 3.63%

日本 37,638,674 585,543,265 18 6.43%

オランダ 37,438,633 1,361,410,559 10 2.75%

フィリピン 33,534,085 218,885,946 35 15.32%

エジプト 30,982,012 292,310,577 30 10.60%

38[インターネットの現状 ]／セキュリティ　　　　金融サービスへの攻撃エコノミー：第 5 巻、第 4 号

250

M

インターネットの現状／セキュリティの編集協力

編集スタッフ

Elad Shuster

Senior Lead Security Researcher

— 数字で見る Web 攻撃

Or Katz

Principal Lead Security Researcher —

フィッシング

Steve Ragan

Senior Technical Writer — Akamai のリサーチ、金融サービスへの攻撃：経験談

Lydia LaSeur

Data Scientist — Akamai のリサーチ

Martin McKeay

Editorial Director

Steve Ragan

Senior Technical Writer、Editor

Amanda Fakhreddine

Senior Technical Writer、Managing Editor

Lydia LaSeur

Data Scientist

マーケティングGeorgina Morales Hampe

Project Management、Creative

Murali Venukumar

Program Management、Marketing

クレジット

Akamai は世界中の企業に安全で快適なデジタル体験を提供しています。Akamai のインテリジェントなエッジプラットフォームは、企業のデータセンターからクラウドプロバイダーのデータセンターまで広範に網羅し、企業とそのビジネスを高速、スマート、 そしてセキュアなものにします。マルチクラウドアーキテクチャの力を拡大させる、俊敏性に優れたソリューションを活用して競争優位を確立するため、世界中のトップブランドが Akamai を利用しています。Akamai は、意思決定、アプリケーション、体験を、ユーザーの最も近くで提供すると同時に、攻撃や脅威は遠ざけます。また、エッジセキュリティ、ウェブ／モバイルパフォーマンス、エンタープライズアクセス、ビデオデリバリーによって構成される Akamai のソリューションポートフォリオは、比類のないカスタマーサービスと分析、365 日 /24 時間体制のモニタリングによって支えられています。世界中のトップブランドが Akamai を信頼する理由について、 www.akamai.com、blogs.akamai.com、および Twitter の @Akamai でご紹介しています。全事業所の連絡先情報は、 www.akamai.com/locations をご覧ください。公開日：2019 年 7 月。