Zimperiumは12月14日(米国時間)、「Zimperium’s 2023 Mobile Banking Heists Report Finds 29 Malware Families Targeted 1,800 Banking Apps Across 61 Countries in the Last Year - Zimperium」において、銀行のモバイルアプリを標的とするマルウェアの継続的な進化に焦点を当てた2023年の調査レポート「2023 Mobile Banking Heists Report | Zimperium」を発表した。
-
Zimperium’s 2023 Mobile Banking Heists Report Finds 29 Malware Families Targeted 1,800 Banking Apps Across 61 Countries in the Last Year - Zimperium
銀行アプリの侵害の実態
調査レポートの要点は次のとおり。
- 従来の銀行アプリが依然として主な標的になっている。1800個あるとされる銀行アプリのうち1103個が侵害された。現時点では新興の金融系アプリが侵害の対象となっていない
- 標的とした銀行の数では「Hook」、「Godfather」、「Teabot」と呼ばれるマルウェアが上位を占める
- 昨年のレポートで調査した19のマルウェアファミリは新たな脅威を備えて進化した。2023年は新たに10のマルウェアファミリが確認されている
- 2023年に活動した調査対象のマルウェアから「自動送金システム(ATS: Automated Transfer System)」、「テレフォン・ベース・アタック・デリバリ(TOAD: Telephone-based Attack Delivery)」、「画面共有(Screen Sharing)」、「マルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)」の4つの新機能が確認された
銀行アプリを保護するための対策
Zimperiumの最高技術責任者(CTO: Chief Technical Officer)は発表の中で、「数百万台のデバイスを監視することで、モバイルバンキングを標的とするマルウェアがいかに広く、グローバルに展開し、成功を収めているかがわかる。サイバー犯罪者が銀行アプリ、金融証券アプリを標的とし続けているのは、時代遅れのセキュリティ技術が広く使われているためだ。」と述べている。このような状況を改善して新しい脅威に対抗するために、Zimperiumは金融系アプリを開発する企業に次のような対策を提案している。
脅威に見合った防御を確保
高度なコード保護技術を導入することで、アプリを攻撃するためのコストが攻撃者の潜在的な利益を上回るようにする
包括的な脅威の監視とモデル化のために実行時の可視性を実装
モバイルアプリケーションの開発者は、さまざまな脅威を網羅する実行時の可視性を実現する必要がある。このリアルタイムの洞察により、リスク、脅威、攻撃を積極的に特定し、検証が可能となる
リアルタイムで脅威に対抗できるオンデバイス保護の導入
モバイルアプリケーションのセキュリティ担当者は、脅威を検出した際にアプリが即座に行動に移せるようにオンデバイスの保護メカニズムを実装する必要がある。この能力は自律的であるべきで、ネットワーク接続やバックエンドサーバに依存するべきではない
銀行アプリを標的とするバンキング型マルウェアは進化を継続しており、広く蔓延しているものとみられている。これらマルウェアにより詐欺被害の拡大、運用コストの増大、消費者の信頼やブランドイメージの低下など、さまざまな影響が懸念されている。Zimperiumはこのような状況を改善するために、プロアクティブなセキュリティ対策はもはやオプションではなく必須だとしている。
金融系アプリなどを開発する企業には、このような脅威からシステム、アプリ、顧客を保護するために、高度なモバイルセキュリティソリューションの導入と、高度なセキュリティ機能を実装したアプリ開発の実現が望まれている。
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
