[イベントレポート]金融機関のセキュリティ対策にProtective DNS が欠かせない理由
2024年2月28日、Infoblox株式会社主催、株式会社マクニカ共催による金融ISAC会員様向けウェビナー「金融機関のセキュリティ対策にProtective DNSが欠かせない理由」が開催されました。
1980年代の誕生以来、インターネットを支えるインフラとして重要な役割を担い続けてきたDNSですが、近年では、マルウェアの92%が何らかの形でDNS(53番ポート)を使用しているなど、その仕組みを悪用した攻撃が急増しています。
DNSを悪用した脅威の増大は、金融機関にとっても例外ではありません。セミナーでは、Infobloxのシニアソリューションアーキテクト 天野智由により、昨今のDNSにまつわる攻撃の実事例をはじめ、Infobloxが提供する「Protective DNS」がもたらすメリット、その活用による金融機関の成功事例が紹介されました。
金融業界でも
DNSのセキュリティ対策の導入が加速
これまでもInfobloxは再三セミナーにおいて、サイバー攻撃において92% の不正プログラムが DNSを悪用していることを訴えてきました。「しかし、セキュリティベンダーの調査によれば、62%もの企業や組織がDNSを管理できておらず、かつ、DNS経由でのデータ漏洩を経験したことがある企業や組織は、46%に上っており、そして、データ漏洩後の対応や追加のセキュリティ対策も含めた被害額は約6億円に達している、との報告が寄せられています」と、天野は警鐘を鳴らします。
多くの金融機関では、既に次世代型ファイアウォールやIPS等を用いた多層防御によるセキュリティ対策を実施していると思われます。
攻撃者は、どの企業・団体でも稼働しており、一方で監視されておらず、本来の能力より過小評価されているプロトコルを探しています。そして、多くの金融機関でDNS に関するセキュリティ対策がまだまだ不十分であることを攻撃者は十分に認識しており、その対策が急務となっているのです。
例えば、信頼されたDNS通信を悪用されたDNSトンネリングへの対策は進んでいるのだろうか。ペネトレーションテストをし、DNSトンネリングへの対策が抜本的な対策が必要な金融機関も多いのではないでしょうか。
そうしたDNSに対する脅威を遮断し、より効果的なセキュリティ対策を実現するものがProtective DNSです。
「Protective DNSは、脅威に対する予測能力を提供するとともに、異常なドメインを追跡したり、怪しいドメインを監視したりすることで予防的に脅威をブロックします。すなわち、Protective DNSの導入によって、サイバーキルチェーンの7つの全てのステップにおいて防御が可能となるうえ、デフェンスラインを一番左側にシフトすることで、実際の通信が行われる前に悪意のあるリクエストの92%を遮断、これまでよりも早い段階で脅威の侵入を防ぐことができるようになります」(天野)
こうしたメリットが評価され、近年では、米国NSA(国家安全保障局)やCISA (米国サイバーセキュリティ・社会基盤安全保障庁)、英国NCSC(国家サイバーセキュリティセンター)など、マルウェア対策の基盤としてProtective DNSの導入が多くの海外政府系機関で加速しています。
同様に金融業界においても、セキュリティ対策の基盤としてProtective DNSの導入がグローバルで進んでいます。
例えば、金融サービスに特化したサイバーインテリジェンスのグローバルな共有を目的とする業界団体である「FS-ISAC(Financial Services Information Sharing and Analysis Center)」では、2021年からEDRやIPSと同様に、セキュリティソリューションの1つとして、DNSフィルタリングの導入を推奨しています。
ATMサーバーが乗っ取られ
2億ドル以上の金銭が窃取
サイバー攻撃は日々、高度化・巧妙化しており、金融業界においても、進化し続ける攻撃に対処していくことが急務となっています。
そうした最新のサイバー攻撃の一つに、多要素認証を標的としたものがあります。今や業務システムへのログイン時だけではなく、オンラインバンキングでの取引時にもワンタイムパスワードや認証アプリ等を用いた2要素認証が当たり前のように利用されています。
この多要素認証システムに対して、悪意のある類似ドメイン(Lookalike Domain)を利用した中間サーバーを経由させ、ユーザー認証情報を搾取するという事案が発生しています。
実際にInfobloxでは毎日700億以上のDNSクエリを解析していますが、すでに1600以上の多要素認証に関連するLookalike Domainを検出しており、2022年7月以降、増加傾向にあることを確認しています。
サイバー攻撃によって金融機関のATMが乗っ取られた事件も発生しています。
アジアのとある銀行では、海外支店の責任者のPCにスピアフィッシングメールが送り込まれ、うっかりメールリンクを開いてしまったことから、マルウェアに感染。マルウェアは支店の内部ネットワークに数か月潜伏してユーザー情報を盗み取り、内部ネットワークを完全に掌握しました。
さらに、攻撃者は支店の内部ネットワークを起点に本社ネットワークへの侵入を実施し、ATMソフトウェアを更新するサーバーの乗っ取りに成功。これにより、乗っ取られたATMソフトウェアの更新サーバーは、ATMソフトウェアにC2通信用のコードを埋め込まれ、金銭を盗み取る対象のATMに配布。攻撃者はC2通信によるATM操作を行い、2億ドル以上を引き出されるという被害が発生しました。
「これは日本ではあまり考えにくいサイバー犯罪の事例かも知れません。しかし、近年、特殊詐欺がより高度していることを想像すれば、決して起こりえない犯罪事例と言えるのではないでしょうか」と、天野は強調します。
セキュリティ対策チームが抱える課題と
Protective DNSがもたらすメリット
多くの企業・組織では、SOCチームやCSIRTがサイバー攻撃対策の中心を担っていると思われます。「しかし、日々高度化、急増するサイバー攻撃によって、SOCチームやCSIRTには、次のような課題が生じているのではないでしょうか」と、天野は訴えます。
1つ目が、セキュリティ担当者に多発している「燃え尽き症候群」です。「SOC アナリストの 60% は日々のワークロードが増加している」との調査レポートが寄せられるなど、SOCチームやCSIRTの担当者は、終わりのないセキュリティ対策に従事する日々に疲弊しており、セキュリティに関する設定ミス等の問題が多発しています。日本でも約半数の企業が同様の課題に直面している、との報告もあげられています。
2つ目の課題は、セキュリティ人材と知識の不足です。
セキュリティ人材自体が不足していることに加え、予算等の関係から内部に人材を確保できないことから、SOC運用を外部に委託するなど、自社でセキュリティ人材を確保、育成することが難しい状況が続いています。
3つ目の課題は、見逃してしまう脅威イベント数が多すぎることです。
セキュリティ担当者に行った調査レポートの結果によれば、回答者の 55% が「重要なアラートが毎週、さらには毎日見逃されることが多い」と答えるなど、日々大量にあげられるアラートに対処しきれない様子がうかがえます。
4つ目の課題は、いざインシデントが発生した際に、その調査や対応に時間がかかりすぎていることです。
膨大なログを確認したり、ユーザーに通知したりと手作業での対応により、多くの手間と時間を要しており、結果、脅威への対応の遅れが生じているのです。
これらの数々の課題解決するものが、InfobloxのProtective DNS製品「BloxOne Threat Defense」を中軸としたセキュリティソリューション群です。先にも述べたよう、SOC運用では、日々、膨大なアラートへの対処が強いられています。
対してInfobloxのソリューションでは、2024年2月15日に提供開始した「SOC Insights」をアドオンすることで大量のアラートに対して、AIや機械学習を用いて対応が必要なイベントのみをフィルタリングします。これにより、従来、50万件ものアラートに対して、対応が必要なものとしてわずか 24件にまで落とし込んだ事例もあります。
また、BloxOne Threat Defenseは、様々なセキュリティソリューションとのエコシステムに対応しており、セキュリティ対策の自動化を促進可能です。これにより、運用負荷やコスト、さらに人材不足といった課題も解決します。
エコシステムの一例には、脅威インテリジェンスプラットフォームを提供する 「Threat Quotient」や、ワークフロー構築やサポートデスクの運用管理で多くの実績を有するクラウドサービス「ServiceNow」、エンドポイントセキュリティソリューションの「SentinelOne」などが挙げられます。このエコシステムの活用により、迅速かつ効率的に脅威を検出し、その後のスムーズな対応も実現します。
金融機関のセキュリティ強化に貢献するInfoblox
InfobloxのProtective DNSソリューションを導入した2つの金融機関の成功事例を紹介しましょう。
1つ目の事例は、米国のある某銀行の事例です。
InfobloxのProtective DNSソリューションは、オフィス内にある端末に加え、クラウドサービスの利用や在宅勤務も行われるハイブリッドな環境でも、同一のセキュリティポリシーを適用可能であるほか、様々な環境から創出されるDNSクエリログを包括してSIEMに転送できるため、可視性を大幅に高めることが可能となりました。
加えて、様々なセキュリティソリューションとのエコシステムの形成により情報の統合性を高められること、Lookalike Domain情報の提供により、金融機関としてのブランドやレピュテーションの低下を回避できることも高く評価されています。
続いて、ブラジルのシクレディ銀行の事例を紹介しましょう。
シクレディ銀行はブラジルにおいて2600支店を展開し、従業員数 は4万人以上、貸出件数もブラジルで第二位を誇る、大手金融機関です。同行では、InfobloxのProtective DNSソリューションに加え、DNS/ DHCP/ IPアドレス管理の統合アプライアンス 「NIOS DDI」の導入により、デジタルトランスフォーメーション(DX)の促進に加えて、DNSセキュリティの実装による早期インシデントレスポンス対応を実現させています。
SOCの円滑なセキュリティ運用を
支援するためのツールも提供
Infobloxでは、SOCの運用をさら円滑化するための調査ツール「Dossier」も提供しています。このツールを活用することで、ドメイン登録時から現在に至るドメインに関わる動きをタイムラインで確認し、「悪性か否か」を確認することが可能となります。2024年3月からは「SOC Insight」と呼ばれる、AIを活用したSOC支援ツールもリリース、インシデントレスポンスの早期対応の支援を強化しています。
最後に天野は、「今やDNS は、スマートフォンからネットワークアクセスする接続時に使われるようなインターネットに欠かせない技術となっています。Protective DNSは現在のセキュリティ対策の最前線を担うものであり、その仕組みをクラウドソリューションとして提供するとともに、一貫したセキュリティ対応を可能とするものがBloxOne Threat Defense です」と強調し、セッションを閉幕しました。
関連情報
弊社ソリューション・サービスの優位性や2024年2月15日(日本時間)に提供開始した「SOC Insights」についてより詳しく知りたいという方は、弊社担当営業までお知らせいただくか、以下のセミナーへの参加をお待ちしております。
名称:CSIRTがレジリエンス向上のためにDNSに注目すべき理由
- Infoblox Security Seminar Series -
主催:Infoblox株式会社
日時:2024年3月14日(木) 15:00 - 16:45
場所:山王健保会館(東京都港区赤坂2-5-6)
*オンラインでの視聴はできないことをご了承ください。
詳細はこちらから確認できます↓↓↓
https://bit.ly/47Z4zjX
この記事が気に入ったらサポートをしてみませんか?