Akamai Technologiesは、金融サービス業界に対する既存のサイバー攻撃と新たなサイバー攻撃を調査した最新のレポート「インターネットの現状|イノベーションに潜む高いリスク:金融サービス業界の攻撃トレンド」を発表した。
同レポートでは、2022年第2四半期と2023年第2四半期を比較し、金融サービス業界におけるアプリケーション攻撃とAPI攻撃が65%増加したと指摘。その攻撃数は、過去18ヵ月間(2022年1月から2023年6月)で90億回を超えているという。サイバー犯罪者グループが初期侵入の経路としてゼロデイとワンデイの脆弱性を悪用したことも、攻撃が増加した一因だと考えられるとしている。
また業界別に見ると、ゲーム業界を上回り、金融サービス業がDDoS攻撃対象のトップとなっている。これは、仮想マシンのボットネットと性能が高まったことと、ロシアとウクライナの紛争を契機とするハクティビズムが引き起こしたレイヤー3およびレイヤー4のDDoS攻撃によるものだという。
その他にも、同レポートでは以下のことが明らかになったとしている。
- ヨーロッパ、中東、アフリカ地域はDDoSイベントの63.5%を占めており、この地域に対する攻撃の数は、次に多い地域のほぼ2倍となっている。これは、攻撃グループが政治的動機で欧州の銀行に攻撃を行っていることが原因の一つであると考えられる
- アジア太平洋・日本地域(APJ)地域で、金融サービス業は、依然としてWeb攻撃の標的となる業界トップとなっており、調査期間中にWebアプリケーション攻撃とAPI攻撃のほぼ50%が発生している
- 悪性ボットからのリクエストは69%増と(1.1兆件)急増し、アカウント乗っ取り攻撃や金融アカウントアグリゲーターが引き起こすリスクなど、顧客とそのデータに対する継続的な加害が続いていることを示している
- 金融サービスの業界では、他の業界よりもサードパーティーのスクリプトが少ない(30%)ものの、そのようなスクリプトはWebスキミングのような攻撃の標的となりやすい。金融サービス企業は、PCI DSS 4.0の新たな要件に準拠するためのソリューションの採用に取り組んでいる
- ローカル・ファイル・インクルージョン(以下、LFI)の脆弱性は、Webアプリケーション攻撃とAPI攻撃数の急増を後押しし、昨年の増加率は53%に上った。LFIは、常にWeb攻撃ベクトルのトップを独走している
【関連記事】
・Akamai、マイクロセグメンテーションの認定資格トレーニングを日本語で提供
・コマース業界へ11億5,000件を超えるWeb攻撃──Akamaiが脅威レポートを発表
・APIリスクを認識するも攻撃への対策に課題か──Akamai調査
