サイバーセキュリティに関するグローバル動向四半期レポート
金融・DDoS・SSO最新脅威
株式会社NTTデータグループは、2024年10月〜12月の公開情報を分析した「グローバルセキュリティ動向四半期レポート(2024年度第3四半期)」を発表した。本稿では、同レポートに記載された動向・解説・予測のみを抽出し、専門メディア向けに再構成する。
1. エグゼクティブサマリー
- 金融庁が公表した「金融分野におけるサイバーセキュリティに関するガイドライン」が最大トピック。対象は銀行・保険にとどまらずFinTech事業者へ拡大。リスクベース・アプローチ、経営陣の主体的関与、サードパーティリスク管理など八つの要点を提示。
- 年末年始を狙った大規模DDoS攻撃が国内航空・金融・通信で多発。300台超のIoTボットネットと複数手法を組み合わせた混成型が特徴。
- Google認証連携(OIDC)を悪用するドメインドロップキャッチ型攻撃、NFCタッチ決済「Ghost Tap」の台頭など、認証・決済領域の新手口が顕在化。
2. 注目トピック①
金融庁ガイドラインの要点
- 対象拡大:資金移動業者や暗号資産交換業者も包括。
- リスクベース管理:基本対応と望ましい対応を区別し、自社状況に即した対策を要求。
- 経営コミットメント:方針策定から年次レビューまで経営層の責任を明示。
- 専門人材育成:戦略立案、リスク評価、脆弱性管理、フォレンジックの四領域で人材確保。
- サプライチェーン強化:事前デューデリジェンスと契約条項による第三者統制。
- 具体的技術対策:SBOM整備、UEBA・DLP・CASB導入などを推奨。
- ゼロトラスト導入:マイクロセグメンテーションと多要素認証を組み合わせた内部対策。
- セキュリティ・バイ・デザインの奨励。
3. 注目トピック②
年末に集中した国内DDoS
- 攻撃対象:航空券予約システム、ネットバンキング、決済基盤など10社超。
- 手法:SYN/ACK/UDPフラッド+DNS水責め+HTTPフラッドのマルチベクトル。
- ボットネット:世界各地のIoT機器300台以上による絨毯爆撃型。
- 対策:IP遮断、分散型権威DNS、DNSプロキシ、クラウド型DDoS緩和、リアルタイム監視。
- 教訓:業界横断の情報共有と中小企業支援が急務。
4. 脅威情報①
Google認証連携を狙うSSO乗っ取り
- 失効ドメインを攻撃者が取得し、同一メールアドレスでGoogle Workspaceを再構築。
- 一部SaaSがドメイン名かメールアドレスのみでユーザ照合する設計を突き、なりすましログイン。
- 対策:IdP側でテナント固有値をIDトークンに埋め込む、アカウントライフサイクル管理、多要素認証。
5. 脅威情報②
NFCタッチ決済「Ghost Tap」
- 流れ:フィッシングでカード情報窃取 → 攻撃者端末に登録 → NFCリレーで協力者端末に中継し不正決済。
- 課題:リレーツールの匿名性と追跡困難さ。
- 防御:ロケーション分析、新端末登録通知、行動的生体認証。
6. 今後の予測
- 金融規制の国際調和:ゼロトラスト義務化やSBOM提出が主要国で加速。
- AI活用の攻撃自動化:IoTボットネットの自律制御とフィッシングの多言語展開が拡大。
- 認証連携の標的化:OIDC/SAMLの実装不備を突く攻撃が横展開、ドメイン管理の重要性が増大。
詳細は、以下URLからレポートをダウンロードして確認してほしい。