アカマイ・テクノロジーズは10月27日、金融サービス業界に対する既存のサイバー攻撃と新たなサイバー攻撃を調査したレポートである「インターネットの現状|イノベーションに潜む高いリスク:金融サービス業界の攻撃トレンド」の抄訳を発表した。これによると、2023年第2四半期の金融サービス業界におけるアプリケーション攻撃とAPI攻撃が、2022年第2四半期と比べて65%増加したという。

金融サービス業界におけるアプリケーション攻撃とAPI攻撃の攻撃数は、2022年1月から2023年6月で90億回を超えているとのこと。サイバー犯罪者グループが初期侵入の経路としてゼロデイとワンデイの脆弱性を悪用したことも、攻撃が増加した一因だと同社は考えている。

業界別に見ると、金融サービス業がゲーム業界を上回りDDoS攻撃対象のトップとなっている。これは、仮想マシンのボット・ネットと性能が飛躍的に高まったことと、ロシアとウクライナの紛争を契機とするハクティビズムが引き起こした、レイヤー3およびレイヤー4のDDoS攻撃によるものという。

地域別では、ヨーロッパ、中東、アフリカ地域がDDoSイベントの63.5%を占めているとのこと。この地域に対する攻撃の数は、次に多い地域のほぼ2倍となっており、攻撃グループが政治的動機で欧州の銀行に攻撃を行っていることが原因の1つだと同社は考えている。

アジア太平洋・日本地域(APJ)地域では、金融サービス業が依然としてWeb攻撃の標的となる業界別トップとなっており、調査期間中にWebアプリケーション攻撃とAPI攻撃のほぼ50%が発生しているとのこと。

また、悪性ボットからのリクエストは69%増の1.1兆件と急増し、アカウント乗っ取り攻撃や金融アカウント・アグリゲータが引き起こすリスクなど、顧客とそのデータに対する継続的な加害が続いていることを示している。

金融サービスの業界では、他の業界よりもサード・パーティーのスクリプトが少ない(30%)ものの、そうしたスクリプトはWebスキミングのような攻撃の標的となりやすいため、金融サービス企業は、PCI DSS 4.0の新たな要件に準拠するためのソリューションの採用に積極的に取り組んでいる。

ローカル・ファイル・インクルージョン(LFI)の脆弱性は、Webアプリケーション攻撃とAPI攻撃数の急増を後押しし、2022年における増加率は53%となった。LFIは、常にWeb攻撃ベクトルのトップを独走しているという 。 米AkamaiのAdvisory CISOであるSteve Winterfeld氏は、「金融サービスは、新旧両方のセキュリティ脅威にとって格好の標的です。本レポートでは、Akamaiの膨大な量の脅威トラフィックを評価し、この業界が重要なデータを保護し、顧客のセキュリティを向上させるために役立つ知見と分析を提供します」と述べている。