網路罪犯的人數和複雜程度都在增加，網路罪犯的目標鎖定變得更具策略性，專注於最大效率和獲利。隨著有關全球網路犯罪的數據持續湧入，可以看出金融服務企業確實成為頭號鎖定目標。

雖然金融服務企業在網路安全人員、工具和相關投資方面的支出持續超過大多數業界同行，不過網路攻擊仍然持續發生。

下列是金融服務企業成為網路罪犯頭號目標的 3 個關鍵原因、最常見的網路攻擊類型以及企業的防禦方式。

金融服務企業成為網路罪犯頭號目標的原因

1.鎖定有能力支付大筆金額的金融服務企業

金融服務企業成為威脅行動者偏好鎖定的目標並非巧合。道理其實很簡單。威脅行動者鎖定有所需的數據可以外洩而且有能力支付大筆金額的目標。數據能夠出售來換取金錢，而且入侵弱點可以獲得數據和金錢。

威脅行動者的鎖定方法以及確定最有利可圖的產業、企業和個人所採取的方式變得愈來愈複雜。網路罪犯每年都在進行更多的研究和偵察，藉以更確實鎖定受害者、盡可能提高經濟報酬，並提升成功的機率。

擁有大量金融和數據資產的金融服務企業是最佳目標。這些企業不僅控制和管理有價值的數據，而且也必須滿足客戶持續需要絕佳數位體驗的需求。

2.數位轉型正在擴大攻擊範圍

客戶對於輕鬆即時取得金融數據的需求正在推動金融服務企業的數位轉型。雲端技術、數據分析和機器人技術正在成為大型機構因應數位經濟挑戰和客戶期望的重要工具。但是這些新技術擴大了攻擊範圍和威脅行動者利用弱點的能力。

此外，金融服務企業目前與傳統競爭對手、金融科技公司，甚至大型科技公司合作，為客戶提供更有吸引力的數位體驗。客戶數據由金融服務企業收集並與合作夥伴共享，藉以獲得洞察力、自訂產品等等。但是數據遺失、濫用和甚至業務中斷的情況也因此發生。

需要更強大且更安全的數位服務模型和第三方合作夥伴來協助金融服務企業以有效的方式滿足數位需求，不過這通常會導致更多的安全複雜度。這些日益複雜的 IT 系統更難進行點對點保護。此外，僅關注法規合規性可能會造成落差。

另一個潛在的弱點是透過遠端存取技術運用第三方供應商的能力。這可能會對金融服務機構產生影響，因為可能會在機構不知情的情況下進行不安全的設定。

相較於大型機構，小型金融機構 (包括信用合作社和資產管理公司) 可能沒有充足的 IT 或安全人員在現場提供深入的網路安全服務。這些較小的公司也可能使用電子郵件進行金融交易，這為威脅行動者提供了介入交易流程的機會。

3.保護數位資產有挑戰性

保護數位資產不是一勞永逸的過程。這需要持續的監控和管理，藉以加速數位環境和現用系統的持續演變。

然而，尋找合適的內部 IT 安全人員和第三方網路安全廠商來支援這項技術對於各種規模的企業來說都很有挑戰性。

實施 IT 基礎結構需要時間和專業知識。這需要企業尋找合適的團隊成員，透過新流程來教育和帶領企業。此外，監控和管理數據安全需要持續的訓練、弱點測試並專注於領先因應新的威脅和持續發展的威脅。隨著採用新的雲端技術，團隊成員也必須了解「共擔責任模型」以及如何執行雲端安全控制和保護敏感數據的其他設定。

哪些類型的攻擊會威脅金融服務企業？

金融服務企業受到各種威脅類型的影響，包括公司電子郵件入侵 (BEC) 和內部威脅。

按照 FBI 的說法，BEC 是「精心設計的騙局，鎖定執行合法資金轉移請求的企業和個人。」為了設下這類騙局，攻擊者經常會入侵合法電子郵件帳戶來執行未獲授權的資金轉移，不過 BEC 也可能包括其他變體。由於可以直接從網際網路存取如此多的電子郵件帳戶，遭竊的憑證不僅會導致資金損失，也會導致敏感數據洩露。

當企業成員移除或洩露數據或資訊時，就會發生內部威脅。這麼做是為了個人或經濟利益，或者為了破壞企業的聲譽。內部攻擊可能包括洩露機密資訊、竊取智慧財產和未獲授權存取敏感資訊。

除了這些攻擊類型之外，在敏感數據無意洩露方面，金融服務企業也受到不成比例的影響，敏感數據的意外洩露通常是由於雲端設定或網路應用程式的錯誤設定所致。由於金融服務企業嚴重仰賴雲端解決方案和客戶適用的應用程式來加速數據管理和客戶服務模型，因此發生錯誤的機率也會增加。威脅行動者持續尋找這類機會來利用暴露的數據。

金融服務企業如何阻止網路攻擊？

為了妥善保護金融服務企業免於遭受網路威脅，必須實施網路安全措施和安全最佳實務，包括零信任、多因素驗證 (MFA) 等等DevSecOps。

進行網路安全測試和訓練也很重要。這包括每年進行兩次超越基礎要點的深入安全意識訓練，以便員工學習如何發現進階威脅策略。訓練計劃應該包括針對公司個別群組的自訂模組，說明他們會如何遭到攻擊。訓練範例應該涵蓋進階網路釣魚技術 (每次都變得愈來愈複雜)、廣泛的社交工程策略、內部威脅活動的跡象 (包括匿名報告問題的方法) 和實體安全性。

對雲端平台的安全和 IT 人員進行有針對性的深入訓練也有其必要。

任何產業都有弱點，不過金融服務企業由於控制的金融和數據資產而經常淪為網路攻擊的目標。確保針對正確的領域進行安全投資，而且對員工進行適當訓練，藉以監控和管理威脅，這將有助於金融服務企業更確實防範大量駭客入侵。

為了優先處理最完善的安全作業，安全評估和滲透測試在以適當的嚴格程度進行時，可以識別弱點和更好的目標投資。如需有關主動評估網路安全整備程度和需求的詳細資訊，請聯絡 Unit 42。

サイバー犯罪者が数・質ともに高度化するなか、標的の選定も有効性の最大化や収益性に的を絞ったより戦略的なものとなってきています。データが世界的なサイバー犯罪に流入するにつれ、金融サービス業界が標的としての地位を固めるようになりました。

金融サービスは、サイバーセキュリティ人材、ツール、関連投資のすべてにおいて、垂直セクタの同業他社のほとんどを一貫して上回っているにもかかわらず、これら組織へのサイバー攻撃は続いています。

本稿では、金融サービス がサイバー犯罪の最大の標的となっている3つの大きな理由と、最も一般的なサイバー攻撃の種類、そして組織がこうした攻撃にどのように反撃すればよいのかについて概説したいと思います。

サイバー犯罪者が金融サービス組織を最大の標的とする理由

1. 金融サービス組織を標的にすると利益が大きい

金融サービス組織が脅威攻撃者によって不釣り合いに大きく標的にされているのは偶然ではありません。その理論的根拠は非常に単純です。脅威攻撃者は、自分たちがほしいものを持っていてカネになる組織を標的にしているからです。つまり、データとカネです。データを売ればカネになりますし、脆弱性はデータとカネの両方を手に入れさせてくれます。

脅威攻撃者は、標的選定のためのアプローチや、最も収益性の高い業界・組織・個人の選定のしかたをさらに高度化させてきています。彼らは、年々調査量や偵察量を増やして、より的確に被害者を選定し、経済的利益を最大化し、成功の可能性を改善しようとしているのです。

ですから、豊富な金融資産とデータをもつ金融サービスは、彼らの標的として最適なのです。金融サービスは貴重なデータを維持管理しているだけでなく、顧客からの高まる需要、つまりデジタルエクスペリエンスに対応していくことも求められています。

2. デジタルトランスフォーメーション（DX）が攻撃対象領域を広げている

「金融データを便利にしたい、いますぐにアクセスしたい」という顧客からの要望を受けて、金融サービスはデジタルトランスフォーメーション（DX）を進めています。クラウドテクノロジ、データ分析、ロボット工学は、デジタルエコノミーやカスタマーエクスペリエンスの課題に対応していくために、大規模な機関にとっては不可欠のツールになりつつあります。ですがこうした新しいテクノロジは、攻撃対象領域を広げ、脅威攻撃者が脆弱性を利用する能力を高めることにもつながります。

くわえて、金融サービスはこれまでの競合相手であるフィンテック企業や大手テック系企業と協力しあい、より魅力的なデジタルエクスペリエンスを顧客に提供するようになってきています。金融サービスは集めた顧客データをパートナー企業と共有してそこから知見を得たり、提供するサービス内容をお客様ごとにカスタマイズしたりしています。ところが、この協力関係が、データの損失や乱用、業務の混乱につながることがあります。

組織がデジタル需要に効率的に対応していくには、より高性能で安全なデジタルサービスモデルとサードパーティベンダが必要ですが、それは多くの場合、セキュリティの複雑さにつながります。これらのますます複雑化するITシステムはエンドツーエンドで保護することが難しく、規制コンプライアンスを満たすことだけにフォーカスしてしまうと、ギャップが残る結果になりかねません。

このほかに影響を及ぼしかねない脆弱性の1つが、リモートアクセステクノロジ経由でサードパーティプロバイダを活用しているケースです。リモートアクセス設定が安全な内容になっておらず、そのことを当の金融機関が把握していないと、金融サービスに悪影響をおよぼしかねません。

そして大規模金融機関とは対照的に、小規模な金融機関、たとえば信用組合や資産運用会社などには、徹底したサイバーセキュリティサービスを提供するだけの潤沢なITスタッフやセキュリティスタッフがオンサイトしていないこともあります。これらの中小企業のなかにはメールで金融取引を行うところもあり、脅威攻撃者がその処理に介入するスキを与えてしまっています。

3. デジタル資産の保護はむずかしい

デジタル資産の保護は、1回やればそれでおしまいにはなりません。デジタルランドスケープや使用するシステムは刻々と進化していきますから、それに対応して継続的に監視や管理を行っていく必要があります。

ただし、そうしたテクノロジをささえるのに適した社内ITセキュリティ担当者とサードパーティサイバーセキュリティベンダを調達するのは、どんな規模の組織にとっても易しいことではありません。

ITインフラストラクチャの実装には時間も専門知識も必要です。組織が新しいプロセスで組織を教育・主導するには、適切なチームメンバーを用意しなくてはいけません。さらに、データセキュリティの監視と管理には、常にトレーニングや脆弱性テストを実施し、新たな脅威や進化する脅威に先んじ続ける注力も必要です。新しいクラウドベースのテクノロジが採用されると、チーム メンバーは共有責任モデル を理解し、機密データを保護するクラウド セキュリティのコントロールや設定を行う方法を理解する必要があります。

金融サービスを脅かす攻撃の種類

金融サービスはあらゆる種類の脅威から影響を受けていますが、これにはビジネスメール詐欺（BEC）とインサイダー脅威の2つも含まれます。

FBIによると、BECは「正当な資金移動を行う企業と個人の両方を標的とした巧妙な詐欺」です。攻撃者は、正当なメールアカウントを侵害して不正な送金を行うことでこの詐欺を実行することが多いですが、ほかにもバリエーションがあります。インターネットから直接アクセスできる電子メールアカウントは非常に多いことから、資格情報が盗まれると、資金が失われるだけでなく機微なデータも侵害される可能性があります。

インサイダー攻撃は、組織のメンバーがデータや情報を削除したり開示したりすることで発生します。その理由は個人的なもの、金銭上の利益、組織の信用毀損などさまざまです。インサイダー攻撃には、機密情報の漏えい、知的財産の窃取、機密情報への不正アクセスなどがあります。

このような攻撃の種類にくわえ、金融サービスは、機微なデータのうっかりミスによる漏えい（多くの場合、クラウド設定やWeb向けアプリケーションの構成ミスによる機密データの偶発的な暴露）により、不釣り合いに大きな影響を受けています。金融サービスは、データ管理や顧客サービスモデルに対応するためにクラウドソリューションや顧客向けアプリケーションに大きく依存していることから、エラーが紛れ込む可能性が高くなっています。脅威攻撃者は、そうしたスキを継続的にスキャンして探し、うっかり公開されてしまっているデータを侵害します。

金融サービスがサイバー攻撃を阻止するには

金融サービス組織をサイバー脅威から適切に保護するためには、ゼロトラスト、多要素認証（MFA）、DevSecOpsなどのサイバー衛生対策やセキュリティベストプラクティス導入が重要です。

また、サイバーセキュリティテストやトレーニングへの投資も欠かせません。そうしたテストやトレーニングでは、年2回、基礎的な内容だけにとどまらない詳細なセキュリティ啓発トレーニングを実施し、高度な脅威戦術を見つけてもらえるよう、従業員に学習してもらいます。トレーニングプログラムには、企業内の各グループに焦点を当てたカスタムモジュールを含めておき、そのグループがどのように標的にされうるのかを説明する必要があります。またそうしたトレーニングでは、高度なフィッシングテクニック（回を追うごとに難易度があがるもの）、幅広いソーシャルエンジニアリング戦術、インサイダー脅威による活動兆候（それに加えてそうした問題を匿名で通報する方法の提供）、物理的なセキュリティをカバーする必要があります。

クラウド プラットフォームに関するセキュリティとIT担当者の集中トレーニングも不可欠です。

脆弱性のない業界はありません。ですがとくに金融サービス組織は、管理する金融資産やデータ資産の大きさから頻繁にサイバー攻撃の標的にされています。適切な領域を対象にセキュリティ投資を行うこと、脅威を監視・管理するための適切なトレーニングをスタッフに受けてもらうこと、これらを確実に行うことで、金融サービス組織はハッキングの嵐をうまく乗り切っていきやすくなるでしょう。

セキュリティ評価と侵入テストを適切なレベルで実施することで、弱点を特定し、投資をより適切に絞り込み、セキュリティ投資の最適化と優先順位付けをしやすくなります。サイバーセキュリティの対応準備状況やニーズを積極的に評価する方法については、infojapan@paloaltonetworks.com までお問い合わせください。