UEBAで脅威と戦う：金融業界

この4部構成のシリーズでは、医療、金融、製造、教育の4つの業界で実際に発生したサイバー攻撃を想定して、その実態に迫ります。このシリーズでは、予期しないセキュリティ攻撃のシナリオを取り上げ、UEBA（User and Entity Behavior Analytics）を活用して組織を保護する方策を探ります。シリーズ第2回目の今回は、金融業界を脅かすサイバー攻撃についてです。

ネットワーク技術の急速な発展により、世界はますます密接に結びついた場所となってきています。しかし、このような便利な技術は、組織や個人を標的型攻撃や ありふれたサイバー攻撃の危険にさらす可能性があります。サイバー犯罪の原動力は「お金」であり、金融機関ほど狙われやすいものはないでしょう。

高度な技術を駆使して、犯罪者はローリスク・ローリターンの銀行顧客から銀行サービスプロバイダーそのものに狙いを変えています。このような知名度の高いターゲットに関わるリスクははるかに大きいですが、その分報酬も大きくなります。では、金融業界のIT管理者は、セキュリティの脅威と戦うために何をすればよいのでしょうか。ここでは、UEBAがこの業界のIT管理者にとって重要なセキュリティ上の決断を下すためにどう役立つのかを考えてみます。

実在しない借り手

アルファフィナンシャルのマーケティング・マネージャー、マーガレット・ハーパーは、ある日突然、広告代理店からテレビキャンペーンの見積もりを受け取ることになった。ちょうど、ある広告代理店からテレビキャンペーンの見積もりが送られてくる予定だったので、彼女はすぐに内容に目を通し、添付ファイルをダウンロードしました。ところが、このメールがスピアフィッシングだったとは知る由もありません。

送信元が広告代理店と似ているし、メールの内容も似ていたので、無理もありません。彼女がワード文書を開くと、文書内のマクロがPowerShellで複数のコマンドを実行し始め、顧客データベースをコピーして攻撃者側に転送され、顧客データベースを引き出されてしまいました。これら盗まれたデータを使って、攻撃者は合成させたID（Synthetic Identity）の詐称を行うことができるようになりました。

合成IDの詐称

幸いなことに、このケースの場合、攻撃は鎮圧されました。データがメールでハッカーに転送される前に、アルファフィナンシャルのUEBAソリューションがPowerShellの複数のコマンドレットの実行と、短いスパンで多数のフォルダへのアクセスおよびコピーを異常な行動としてフラグを立てたのです。マーガレットのリスクスコアが上昇すると、IT管理者はそれに気付き、速やかにインターネットや社内ネットワークからシステムを隔離し、銀行ネットワーク内部への水平展開と外部へのデータ送信を阻止することに成功したのです。

DDoS攻撃を未然に阻止せよ

今日の世界では、99％の可用性でも十分ではなく、顧客は銀行サービスが24時間、世界中で利用可能であることを求めます。SNSが普及したおかげで、サービスの利用不能に対する世間の反応はあっという間です。不満を持つ顧客の反応は数秒のうちに拡散され、銀行の評判を落とすことになりかねません。顧客の信頼が第一の金融サービス業にとって、分散型サービス妨害（DDoS）攻撃によるサービス停止は、大量の顧客離反を招き、大きな損失をもたらすことになるでしょう。

攻撃者は、周到なアカウント侵害によって、組織のネットワークにアクセスすることができます。ハッカーは、ネットワークに接続された機器の特性を観察するために、しばらくの間、発見されないようにすることで足場を確保することができます。これにより、攻撃者は、既存のデバイスの脆弱性を評価し、これらのネットワークデバイスへの攻撃を開始し、ボットネットに改造することができます。こうして相互接続されたデバイスは、脅威者によってコントロールされ、重要な銀行のサーバーに対して、致命的な時間帯に大規模なDDoS攻撃を仕掛けて、最大の損害を与えることができるようになるのです。では、どうやってUEBAを使えばこれらの脅威を阻止することができるのでしょうか。

UEBAはユーザープロファイルだけでなく、銀行のITインフラに接続されているルーター、プリンター、サーバー、ネットワーク機器、ストレージコンポーネント、モバイル機器など様々なエンティティにおける異常な挙動を特定し、あぶり出すことが可能です。UEBAでは、各エンティティのベースラインプロファイルを作成し、常に最新の挙動と比較することでリアルタイムに異常の有無を診断します。こうしてUEBAは、ネットワークの構成要素をハッキングやボット化から守るのに役立ちます。また、UEBAは銀行のサーバーに対して行われた異常な量のトラフィックやリクエストを検知してIT管理者に警告できるので、すぐに是正措置を講じることが可能になります。

内部からのスマーフ攻撃を見破る

アンドリュー・チェイスは、ゴールドガード・ホールディングスの個人資産管理部門に勤務する、非常に人気の高いファイナンシャルアドバイザーである。ゴールドガード・ホールディングスは、リレーショナル・データベース管理システムであるOracle Databaseを使用して顧客情報を一元管理しています。欲に駆られたアンドリューは、マネーロンダリングを決行することに。

以下、アンドリューのマネーロンダリング計画

• しばらく利用されていない銀行口座を特定する。
• 口座の持ち主への通知を停止し、口座の取引を把握できないようにする。
• 不正に入手した資金を被害者の口座に少額ずつ入金する。
• 送金元口座へのリダイレクトを行う。
• 取引履歴を削除する。
• 疑われない程度の安全な間隔で繰り返す。

金融機関にとって最大の脅威の一つ：マネーロンダリング

しかし、その計画は残念ながら失敗に終わり、彼は牢獄につながれてしまった。アンドリューは、ゴルガード・ホールディングスがITインフラを監視するためにUEBAソリューションを導入していることを知りませんでした。

アンドリューは、銀行の全顧客のデータベースにアクセスする権限を持っていました。しかし、通常、彼は自分の顧客の詳細にしかアクセスしない。ところが、1年以上放置されている口座を特定するために、顧客データベースに対していくつかのクエリーを実行したところ、UEBAソリューションがカウントの異常を検出したのです。その後、スケープゴートをリストアップし、アカウントの通知権限を変更し始めると、パターンの異常が検出されました。

これを受けてアンドリューのリスクスコアは急上昇し、システム管理者に侵入の可能性を知らせました。管理者は、アンドリューの不正行為を調査し、発見することが出来ました。もしUEBAソリューションがアンドリューの悪質な行為を報告しなかった場合、ゴールドガードホールディングスはマネーロンダリング防止（AML）コンプライアンス違反に問われ、法的・経済的な影響を受けることになったでしょう。

希望の兆し

喜ばしいことに、SecurityScorecardのランキングによると、金融サービス業界は全体的なサイバーセキュリティのトップパフォーマーとして台頭しています。これは、金融業界の多くの組織がサイバーセキュリティの重要性を認識していることを示唆しており、明るい兆しと言えます。しかし、この分野の組織を標的とした攻撃が増加しているため、組織は警戒を怠ってはならず、UEBAはその一助となることができます。

次回の「UEBAで脅威と戦う」では、製造業に潜むサイバー脅威について探ってみたいと思います。それまでは、次の記事のネタにされないよう、くれぐれも油断せず、安全に留意するようにしましょう。

【連載】UEBAで脅威と戦う

• 医療保険業界
• 金融業界
• 製造業界
• 教育機関

UEBAの関連記事

• 会社を守る脅威インテリジェンス「UEBA（User and Entity Behavior Analyics）」とは？
• UEBA（User and Entity Behavior Analytics）を大解体！