近年、銀行を狙ったサイバー攻撃が世界中で起こっています。特に問題になっているのが、国際銀行間通信協会(SWIFT)の金融システムへの攻撃です。世界で最も安全と言われていた金融システムの信用が崩れる中、脅威に対して、企業はなにを対処すれば良いのでしょうか。CA Technologies CTOのオットー・バークス氏は、次のように述べています。
変異することで強力な抗生物質への耐性を獲得するウイルスのように、今日のサイバー環境における脅威は、常に新しい脆弱性を悪用しようと変化を続けています。新しいウイルスに対抗するためにはより優れた抗生物質を開発しなければならないように、個人、企業、政府レベルでデジタルセキュリティを保護するためには、システムを時代と共によりアクティブで堅牢かつ革新的なものに進化させていく必要があります。
最近のニュースで、サイバー犯罪者がバングラデシュの中央銀行とエクアドルの銀行、および少なくとも他一つの国から8100万ドルに上る資金を盗んだという事件が報道されました。この大規模で国際的な盗難事件は、犯罪者は決して手を休めないということ、そしてデジタルセキュリティの観点から今までは「十分」であったことがもはやそうではないということを目の当たりにした痛い教訓となりました。ベルギーに拠点を持つ、国際銀行間通信協会「SWIFT(スイフト)」を通じて行われるあらゆる国際決済は、世界中で1万1000社におよぶ金融機関に使用されており、世界で最も安全な金融通信システムと考えられていました。デジタル窃盗団はこのSWIFTに潜入し、犯罪映画まがいの厚かましい窃盗事件をやってのけたのです。
SWIFTの銀行データ通信システムへの攻撃は新しいタイプのサイバー攻撃ではありませんでしたが、洗練され、ユニークかつ巧妙な方法で既存の攻撃方法をいくつか組み合わせた仕組みを利用したものでした。SWIFTが発表したところによれば、窃盗団は正当なユーザーの認証情報を盗み、詐欺的な資金転送を行うために一見本物のメッセージを送信したようです。そして、銀行のコンピュータに悪意のあるソフトウェアをインストールし、プリンタを操作し、不正なメッセージの痕跡を隠したのです。
今回の窃盗事件に関してSWIFTは、「攻撃者は明らかに狙った銀行の特定の業務管理に関する非常に深い知識を持っています。悪意のある内部の人間、またはサイバー攻撃、あるいはその両方の組み合わせによって、攻撃者はその知識を得たと思われます」と報告書の中で述べています。
今日、SWIFTと加盟銀行、または同様に相互接続されたエコシステムを保護するためには、単なる技術的な問題としてではなく、深刻な経営課題として管理する協力的かつ多面的なアプローチが必要です。
まず、人間の弱点につけ込むような悪人のソーシャルエンジニアリングは、善人によるソーシャルエンジニアリングで対抗する必要があります。多くの場合、従来の決済ネットワークへの攻撃にはいわゆる「スピアフィッシング(スピア型攻撃)」が関与していました。これは、犯罪者が偽の電子メールを開くように人々を誘導するもので、ユーザーがそのリンクをクリックすると、悪意のあるソフトウェアがコンピュータにダウンロードされることで、犯罪者がシステムにログオンして、認証情報を盗むことができるようになるという仕組みです。
マルウェアに加えて、サイバー犯罪者はハッキングツールを利用していました。このツールには、キーボードのキーストロークを監視して記録するキーロガーが含まれますが、これはSWIFTシステムからバングラデシュ銀行の認証情報を盗むために使用されたものです。
最新のスピアフィッシング技術に関する教育を社内外で継続的に行うことが、従業員の意識を高め、不正行為を削減する上で役立ちます。現在、モノのインターネット(IoT)におけるモバイル機器や他の接続デバイスが脆弱性の新たなポイントとなっており、これらを厳重にロックする必要があります。窃盗団はまた、支払確認の報告書を生成するために使用されていた粗末なPDFリーダーというセキュリティチェーンの中の弱いリンクをうまく活用しました。セキュリティに焦点を当てて事業全体で定期的にポートフォリオの確認を実施するというアプローチを取ることで、新たな脅威やギャップ、および被害の軽減戦略を特定することができます。
また、ペリメータ・セキュリティがもはや「城壁」ではないことを理解する必要があります。その城の守りをいかに強化したところで結果は同じです。新しいペリメータ・セキュリティは「アイデンティティ」です。これは、システムの種類を問わず、ネットワークエッジで数百万人というユーザーがアクセスしているポイントになります。ユーザーが間違いなく本人であること、そしてユーザーがアクセスできる情報やサービスが正確にその役割と一致していることを企業は確認する必要があります。
機密性の高い通信においては、ユーザー名とパスワードだけではもはや十分ではありません。多要素認証などの高度な認証プロトコルを利用して基本的なアイデンティティを強化することで、アイデンティティの真正性を確保することができます。これにより、小規模な銀行などは、比較的容易かつコスト効果の高い方法でセキュリティをアップグレードすることが可能となります。
一部のデータやサービスには、より高いセキュリティが必要な場合があります。例えば、オンラインバンキングにおいて、消費者が残高情報にアクセスするだけならシンプルなパスワードで十分かもしれません。しかし、銀行員が資金を転送する場合には、その取引を完了する際に追加のアイデンティティ認証を要求する必要があるでしょう。
そして、重要なことは、特権ユーザーアカウントの監視と分析を強化する必要があるということです。私たちのビジネスと金融システム、さらには政府関連システムにおいても、相互関連性がますます高くなってきています。つまり、これまで以上に多くのユーザーにこうしたさまざまなシステムを実行する特権アクセスが付与されているということです。
特権アクセスはその必要がある人物にのみ付与されるべきであり、常時監視する必要があります。多くのサイバー犯罪に社内の人物が関与していることから、その活動を特に厳密に監視しなければなりません。不正検出ソフトウェアを利用することで、アクセス権限昇格の試みやアカウントにおける行動の変化といった異常な活動を認識することができます。特権アクセスが危険に曝された場合、アカウントのアクセス履歴により、発生した事象やその原因をより良く理解することが可能です。
今回のSWIFT攻撃は、多額の資金が盗まれたということだけでなく、攻撃者がよく知られている方法を組み合わせて使用して世界経済の中枢で利用されている金融システムを侵害したという点で重要な意味があります。企業各社はこの事件から教訓を学び、自社のシステム運用を慎重に見直す必要があります。「これで十分」というセキュリティの枠から出て、常に警戒態勢を維持してシステムの健全性とセキュリティを管理しなければならないのです。そして、SWIFT攻撃の拡散を防ぐために、実績ある既知のセキュリティ対策機能を組み合わせることで、毒を以て毒を制す必要があるのです。そうしなければ、バングラデシュの二の舞を演じることになるでしょう。
執筆者紹介
CA Technologies CTO
Otto Berkes(オットー・バークス)氏
2015年6月にCAへ入社。過去には、MicrosoftのXbox創立メンバー、米ケーブルテレビ放送局HBOの最高技術責任者などを歴任している。CAでは、テクニカル、およびイノベーションリーダーとして、社内テクニカル・コミュニティーの拡充や、CAのソフトウエア・ストラテジー、アーキテクチャ、そしてパートナー・リレーションシップのアライメントによる顧客価値の提供を実現するという職責を担う。