Netskope Threat Labs レポート: バンキング 2024

コンテンツ一覧

このレポートでは紹介 Social Engineering 悪意のあるコンテンツ配信

TA577 インドリックスパイダー

GenAIデータセキュリティ推奨事項 Netskope Threat Labs このレポートについて

9 min read

このレポートでは

銀行業界の被害者を標的とする攻撃者は、金融詐欺に焦点を当てており、銀行口座の詳細や銀行のログイン認証情報を盗むための主要な戦略の1つとしてフィッシングを使用しています。
昨年、銀行業界を標的にした上位の敵対グループは、ロシアで活動する犯罪グループTA577とIndrik Spiderでした。上位のマルウェアファミリには、ダウンローダーのSLoad、インフォスティーラーのAgentTesla、JavaScriptベースのマルウェアであるFakeUpdaterとParrot TDSが含まれていました。
銀行業界は、積極的なブロッキング戦略やリアルタイムのDLPポリシーなど、他の業界よりも積極的な制御を展開することで、ユーザーが規制対象データをGenAIアプリに漏洩するリスクを軽減しています。

紹介

このレポートでは、銀行業界が直面する3つのタイプの脅威に焦点を当てています。

ソーシャルエンジニアリング – 敵対者は、フィッシングやなりすましなどの戦術を使用して、人間の行動を悪用し、セキュリティ対策を回避します。
悪意のあるコンテンツの配信 – 敵対者は、被害者をだましてウェブやクラウド上の悪意のあるコンテンツにアクセスさせようとします。
データセキュリティ – データセキュリティは、標的型侵害における外部の敵対者や、データを不適切に処理する内部関係者によるリスクにさらされています。

ソーシャルエンジニアリングは、銀行業界にとって最も重要なサイバーセキュリティの脅威の一つです。ソーシャルエンジニアリングには、フィッシング、偽のソフトウェアアップデート、テクニカルサポート詐欺、トロイの木馬などがあります。フィッシングは最も一般的な手口の1つであり、銀行で働く1000人に3人が毎月フィッシングリンクをクリックしており、これは他の業界と一致しています。被害者は、電子メール、メッセージングアプリ、ソーシャルメディア、広告、検索エンジンの結果など、さまざまな場所でリンクをクリックします。銀行業界を標的とする攻撃者は金融詐欺に重点を置いているため、彼らのフィッシングターゲットはその目的と一致しています。攻撃者は、他のセクターで一般的なクラウドアプリを標的にするのではなく、標的となる金融機関のWebサイトに見せかけたフィッシングページを作成して、銀行口座の詳細や銀行ポータルのログイン資格情報を盗み、金融詐欺を犯します。次のグラフは、最も一般的なターゲットを分類したもので、クリックの半分以上が銀行機関を模倣したリンクでした。

悪意のあるコンテンツ配信

Netskope は Advanced Threat Protection エンジンを活用して、銀行で働く 100 人に 1 人が毎月ウェブやクラウド上の悪意のあるコンテンツにアクセスするのを防ぎます。この悪意のあるコンテンツには、ブラウザが実行する悪意のあるJavaScriptコンテンツや、被害者が実行する必要があるマルウェアのダウンロードなど、さまざまな形式があります。最近銀行業界をターゲットにしていた上位5つのファミリーを以下に示します。

Downloader.SLoad (別名Starslord)は、Ramnitを配信するためによく使用されるダウンローダーです。

Infostealer.AgentTesla は .NETベースのリモートアクセス型トロイの木馬で、ブラウザのパスワードの窃取、キーストロークのキャプチャ、クリップボードのコンテンツの窃取など、多くの機能を備えています。

Trojan.FakeUpdater (別名 SocGholish) は、 Dridex や Azorult など、さまざまなペイロードを配信する JavaScript ダウンローダーです。

Trojan.Parrottds は、2019 年以降、トラフィックをさまざまな悪意のある場所にリダイレクトするために使用されている JavaScript ベースのトラフィック誘導システムです。

Trojan.Valyria (別名 POWERSTATS)は、悪意のあるVBScriptが埋め込まれた悪意のあるMicrosoft Officeドキュメントのファミリーであり、通常は他の悪意のあるペイロードを配信します。

Netskope Threat Labsは、Netskopeの顧客を積極的に標的にしている敵を追跡して、彼らの動機、戦術、および手法を理解し、それらに対するより優れた防御を構築できるようにします。私たちは一般的に、敵対者の動機を犯罪的または地政学的なものとして分類します。過去1年間に銀行業界を標的にした上位2つの敵対グループは、ロシアに拠点を置く犯罪グループでした。

TA577

場所： ロシア
モチベーション：犯人
エイリアス：ハイブ0118

TA577は、世界中の複数の業界を標的にしており、 Qbot、 Ursnif、 Cobalt Strikeなどのマルウェアペイロードを配信しています。

インドリックスパイダー

場所： ロシア
モチベーション：犯人
エイリアス：エビルコープ、マナティーテンペスト、DEV-0243
マイターID:G0119

初期の頃、Indrik Spiderは主にバンキング型トロイの木馬 Dridex を使用していましたが、その後ランサムウェアに軸足を移し、BitPaymer、WastedLocker、Hadesを使用していました。 Indrik Spider は、ペイロードを配信するために JavaScript を頻繁に使用し、人気のあるレッドチームツールである Cobalt Strike を使用して、被害者の環境での永続性を確立します。

アクティビティを特定の敵対者グループに帰属させることは、困難な場合があります。敵対者は、自分の本当の身元を隠そうとしたり、意図的に偽旗作戦を開始したりして、攻撃が別のグループから来ているように見せかけようとします。複数のグループが同じ戦術や手法を使用することが多く、同じツールやインフラストラクチャを使用するグループもあります。敵対者グループの定義は、グループが進化したり、メンバーがグループ間を移動するにつれて困難になる可能性があります。敵対者の属性は曖昧であり、新しい情報が明らかになるにつれて変更および進化する可能性があります。

GenAIデータセキュリティ

GenAIアプリを使用している組織にとって最も緊急性の高いセキュリティリスクはデータ関連であり、ユーザーはこれらのリスクを引き起こし、防止する重要なアクターです。これらのリスクには2つの側面があります。

インプット： ユーザーはどのようなデータをgenAIアプリに送信しますか?
アウトプット： ユーザーは、genAIアプリから得られるアウトプットをどのように活用しているのでしょうか?

入力の場合、主なリスクはデータ漏洩です。出力については、リスクとしては、正確性(genAIアプリは幻覚や誤情報を提供するのに非常に優れている)や法的な懸念(多くの企業が著作権で保護されたコンテンツやライセンスされたコンテンツでgenAIアプリをトレーニングしている)が含まれます。このレポートでは、通常、機密データの保護がほとんどの組織にとって最優先事項であるため、入力に焦点を当てています。

保守的な採用

銀行業界は、GenAIの使用を制限するためのより積極的なポリシーを採用することで、GenAIの採用を遅らせることに成功しました。銀行組織の93%が少なくとも1つのgenAIアプリをブロックしているのに対し、世界平均は77%に過ぎません。さらに、genAIアプリをブロックしている銀行組織は、他の業界の銀行よりも多くのgenAIアプリをブロックしている傾向があります。次の図は、銀行組織がブロックするgenAIアプリの平均数が1年前の5つから今日ではほぼ9つに増加し、上位25%の組織が少なくとも24のアプリをブロックしていることを示しています。対照的に、世界平均はわずか 2.6 アプリであり、上位 25% の組織に 12 のアプリが含まれています。

最も多くのブロックを持つアプリには、ライティングアシスタント、チャットボット、画像ジェネレーター、オーディオジェネレーターなど、複数のカテゴリのアプリが含まれており、世界的なトレンドと多くの類似点があります。

Threat Labs レポート: Banking 2024 - Most blocked AI apps by percentage of organizations enactet an entire banet on the app (バンキング 2024 - 最もブロックされた AI アプリの割合: アプリを全面的に禁止する組織の割合)

一方、銀行業界で最も人気のあるgenAIアプリには、チャットボット、ライティングアシスタント、副操縦士、メモ取りアプリなどがあり、多くの世界的なトレンドを反映しています。

銀行業界の組織は、データ損失防止 (DLP) やリアルタイムのユーザーコーチングなどの制御を組み合わせて、許可された genAI アプリへのアクセスを制御します。 GenAI制御としてのDLPは銀行業界で人気があり、全組織の半数以上がGenAIアプリへの機密情報の流入を制限するためにDLPを使用しています( 世界平均は43%)。規制の厳しい業界である銀行業界では、genAIアプリにアップロードされる機密データの最も一般的なタイプは、当然のことながら規制されたデータであり、DLP制御はそのようなデータがサードパーティのgenAIベンダーに開示されるのを防ぐのに役立ちます。

銀行業界で使用されているgenAIコントロールは非常に効果的です。この業界では、一般的に他の業界よりも genAI の採用が低く、世界平均の 97% と比較して、組織の 87% が genAI を使用しています。採用は増え続けていますが、その傾向は緩やかで、過去1年間で7ポイント上昇しています。同様に、各組織で使用されている genAI アプリの平均数は 6 で、世界平均の 9.6 よりも少なくなっています。

推奨事項

Netskope Threat Labsは、銀行セクターの組織がこれらの傾向から適切に保護されていることを確認するために、セキュリティ体制を見直しることを推奨しています。

すべての Web トラフィックやクラウドトラフィックを含むすべての HTTP および HTTPS ダウンロードを検査して、マルウェアがネットワークに侵入するのを防ぎます。 Netskope の顧客は、すべてのカテゴリからのダウンロードとすべてのファイルタイプに適用される脅威保護ポリシーを使用してNetskope Next Gen Secure Web Gatewayを構成できます。
実行可能ファイルやアーカイブなどのリスクの高いファイルの種類は、ダウンロードする前に静的分析と動的分析を組み合わせて徹底的に検査します。 Netskope Advanced Threat Protectionの顧客は、 Patient Zero Prevention ポリシーを使用して、完全な検査が完了するまでダウンロードを保留できます。
組織内で使用されていないアプリやインスタンスからのダウンロードをブロックするポリシーを構成して、ビジネスに必要なアプリやインスタンスのみにリスクを軽減します。
組織内で使用されていないアプリやインスタンスへのアップロードをブロックするポリシーを構成して、内部関係者による偶発的または意図的なデータ漏洩や攻撃者による悪用のリスクを軽減します。
一般的なマルウェアに関連するコマンドアンドコントロールトラフィックなど、悪意のあるトラフィックパターンを識別してブロックできる侵入防御システム (IPS) を使用します。この種の通信をブロックすると、攻撃者が追加のアクションを実行する能力を制限することで、さらなる被害を防ぐことができます。
新しく観察されたドメインや新しく登録されたドメインなど、リスクが高いカテゴリに分類される Web サイトにアクセスする必要がある場合は、 Remote Browser Isolation (RBI)テクノロジーを使用して追加の保護を提供します。