S&PグローバルTop100の世界大手銀行のアプリケーションセキュリティの現状

大手銀行100行のうち97行が、ハッカーが機密データを盗むためのWeb攻撃およびモバイル攻撃に対して脆弱です。

業界アナリストやセキュリティ専門家の間では、アプリケーションのセキュリティが重要だという意見で一致しています。 Forresterの最近の調査によると、アプリケーションセキュリティ市場は2023年までに70億米ドルを超えると予測されています。 一方、Gartnerによると、世界のサイバーセキュリティにおける支出では銀行部門がリードしていす。

この調査では、S&P Global list for 2019 に掲載されている世界最大の金融機関のアプリケーションセキュリティ、プライバシー、コンプライアンスについて報告しています。

主な調査結果

コンプライアンス:

  • 85個のe-banking WebアプリケーションがGDPR準拠テストに失格しました。
  • 49個のe-banking WebアプリケーションがPCI DSS準拠テストに失格しました。
  • 25個のe-banking Webアプリケーションは、Webアプリケーションファイアウォールによって保護されていません。

セキュリティの脆弱性:

  • 7つの E-banking Webアプリケーションには、既知の脆弱性と悪用可能な脆弱性が含まれています。
  • パッチが適用されていない脆弱性のうち、最も古いものは2011年以降に公開された既知のものだ。
  • モバイルバンキング用アプリケーションの92%に、中リスクのセキュリティの脆弱性が少なくとも1つ含まれています。
  • 全ての銀行は、セキュリティ上の脆弱性や、管理されないまま放置されたサブドメインに関する問題を抱えています。

目次

 

  • ウェブサイトのセキュリティ
  • SSL / TLS暗号化セキュリティ
  • PCI DSSおよびGDPR Webサイトコンプライアンス
  • 旧式で脆弱なWebソフトウェア
  • Webアプリケーションファイアウォールの使用
  • モバイルバンキングアプリケーション
  • フィッシング詐欺
  • 商標権侵害とドメイン・スクワッティング
  • 推奨事項

 

1.データソースと方法論

FT500リストの世界最大の企業のWebおよびモバイルアプリケーションセキュリティを対象とした以前の調査から、強化された手法を活用しました。
この調査の目的のために、22カ国の世界最大の金融機関を含むS&Pグローバルリストの外部Webアプリケーション、API、およびモバイルアプリを慎重に調査しました。

図1:地域別の銀行数

次の外部資産およびアプリケーションをテストしました:

ImmuniWebがサイバーセキュリティコミュニティに無料で提供している非侵入的セキュリティ、プライバシー、コンプライアンスのテストを実施しました:

PCI DSSコンプライアンステストは、標準の最新バージョン(v.3.2.1)の要件2.3、4.1、6.2、6.5、および6.6を対象としています。

GDPRコンプライアンステストは、制定された規則の第5条1項、第5条2項、第6条1項、第6条4項 (e)、第7条、第25条1項、第32条1項 (a)(b)(d) 及び第35条7項 (f) を対象としています。

オープンソースソフトウェア(OSS)の非侵入型ソフトウェア構成分析(SCA)は、OWASP Top10リストで公開されているフィンガープリントの脆弱性があるソフトウェアバージョンについて検証しています。

2.ウェブサイトのセキュリティ

SSL暗号化とWebサイトのセキュリティの両方で最高グレードの評価「A+」を獲得した主要Webサイトは、100サイト中3サイトのみでした。

  1. www.credit-suisse.com (Switzerland) A+
  2. www.danskebank.com (Denmark) A+
  3. www.handelsbanken.se (Sweden) A+

以下は、主要なWebサイトのWebサイトセキュリティグレードです。:

図2:メインWebサイトのWebサイトセキュリティ

以下は、サブドメインのWebサイトセキュリティグレードです。:

図3:サブドメインのWebサイトセキュリティ

以下は、e-banking WebアプリケーションのWebサイトセキュリティグレードです。:

図4:EバンキングのWebサイトセキュリティ

3.SSL / TLS暗号化セキュリティ

以下は、主要WebサイトのSSL / TLS暗号化セキュリティグレードです。:

図5:メインWebサイトのSSLセキュリティ

以下は、サブドメインのSSL / TLS暗号化セキュリティグレードです。:

図6:サブドメインのSSLセキュリティ

以下は、e-banking WebアプリケーションのSSL / TLS暗号化セキュリティグレードです。:

図7:電子バンキングのSSLセキュリティ

4.PCI DSSおよびGDPR Webサイトコンプライアンス

以下は、主要WebサイトのPCI DSSコンプライアンステストです。:

図8:メインWebサイトのPCIコンプライアンス

以下は、サブドメインのPCI DSSコンプライアンステストです。:

図9:サブドメインのPCIコンプライアンス

以下は、e-banking WebアプリケーションのPCI DSSコンプライアンステストです。:

図10:EバンキングのPCIコンプライアンス

以下は、メインWebサイトのGDPRコンプライアンステストです。:

図11:メインWebサイトのGDPRコンプライアンス

以下は、サブドメインのGDPRコンプライアンステストです。:

図12:サブドメインのGDPRコンプライアンス

以下は、e-banking WebアプリケーションのGDPRコンプライアンステストです。:

図13:EバンキングのGDPRコンプライアンス

5.旧式で脆弱なWebソフトウェア

最近のWebサイトでは、オープンソースと独自仕様のWebフレームワーク、およびその他のソフトウェアの特殊な組み合わせを利用して、パフォーマンス、追跡、またはSEOを向上させています。

頻繁に一時的な様々なベンダーのWebソフトウェアの量が急速に増加しているため、銀行のメイン(「www.」)Webサイトにも影響を与えるリスクが増大しています。

  • 各Webサイトには、平均して2つの異なるWebソフトウェアコンポーネント、JSライブラリ、フレームワーク、またはその他のサードパーティのコードが含まれています。
  • 29ものWebサイトに、中リスクまたは高リスクの、公開されていてパッチが適用されていないセキュリティ脆弱性が少なくとも1つ含まれています。
  • この調査で検出されたパッチ未適用の脆弱性の中で最も古いものは、2011年以降に知られているjQuery 1.6 .1に影響を与えるCVE-2011-4969です。
  • 最も一般的なWebサイトの脆弱性は、XSS(クロスサイトスクリプティング、OWASP A7)、機密データの露出(OWASP A3)、セキュリティの構成ミス(OWASP A6)です。

サブドメインに関しては、古くなったコンポーネントによってさらに悲惨な状況になっています。:

  • フィンガープリントが可能な外部ソフトウェアを含むサブドメインの81%には古いコンポーネントがあります。
  • 2%は、公に開示された中リスクまたは高リスクの攻撃可能な脆弱性を含んでいます。

さらに、この調査から銀行のWebサイトに影響を与える147のXSS脆弱性を非営利のOpen Bug Bountyプロジェクトに報告しています。そのうち28件の脆弱性において脆弱性が修正されておらず、うち5件は2年以上パッチが適用されていません。

6.Webアプリケーションファイアウォールの使用

Gartnerの予測では、Web Application Firewall(WAF)市場は2018年に8億5300万ドルになり、2017年の7億6,200万ドルから11.9%増加しています。

銀行部門でのWAFの利用は、一見するとかなり普及しています。
メインのWebサイトに外部WAFを導入していなかったり、リアルタイムでWeb攻撃をブロックしていない銀行は8行程度と少ない状況となっています。

しかし、e-bankingのWebサイトでは、25もの金融機関でWAFの誤設定があります。問題となるのは、WAFが正規のユーザーまたは動作パターンに対して、異常なHTTPリクエストだと誤検出してブロックしてしまうことです。つまり、重要な送金を行ったり口座残高をチェックしたりしている間に、e-bankingのインターフェイスから締め出されてしまうため、顧客が不満を抱きます。

サブドメインの場合、統計では47%のWebアプリケーションが保護されていないため危険性が懸念されます。
よく知られていますが、サブドメインは、放置されていたり、忘れられていたり、古いままだったり、あるいはシャドウアプリケーションだったりと、何らかの理由でネットワークの防御範囲内に含まれておらず、実際には攻撃者にとって狙い所とされます。
ImmuniWeb Discoveryは、外部からの攻撃に対するセキュリティリスクを迅速に明らかにし、評価します。

7.モバイルバンキングアプリケーション

この調査では、機密性の高い銀行データへのアクセスを可能にする55のモバイルバンキングアプリケーションをテストしました。これらのモバイルアプリは合計で298のバックエンドAPIと通信し、銀行との間でデータを送受信していました。

これら全てのモバイルアプリを、Mobile OWASP Top10のセキュリティとプライバシーの問題に基づいてテストしました。
モバイルバンキングアプリケーションで処理される銀行データは非常に機密性が高いため、多くのソリューションやセキュリティサービスプロバイダによって定期的にテストされていますが、以下の統計は非常に憂慮すべきものです。:

  • モバイルバンキング用アプリケーションの100%に、低リスクのセキュリティ脆弱性が少なくとも1つ含まれています。
  • モバイルバンキング用アプリケーションの92%に、中リスクのセキュリティ脆弱性が少なくとも1つ含まれています。
  • モバイルバンキング用アプリケーションの20%に、高リスクのセキュリティ脆弱性が少なくとも1つ含まれています。

OWASP Mobileトップ10で最も一般的な3つのセキュリティ問題は次のとおりです。:

  • M1:不適切なプラットフォームの使用
  • M2:セキュリティ保護されていないデータストレージ
  • M7:クライアントコードの品質

モバイルアプリケーションのバックエンドは、通常、Webブラウザ経由でユーザーと対話するように設計されておらず、モバイルアプリや他のソフトウェアからHTTP/Sリクエストを受信するように設計されたRESTまたはSOAP APIです。そのため、ここでは該当しないWebサイトのセキュリティテストは実施せず、SSL暗号化テストを実施して、送信されたデータがどのように暗号化されているかを検証しました。ほとんどのバックエンドAPIには強力なSSL/TLS暗号化が実装されています。

  • 198個のアプリは「A」グレードを獲得しました
  • 44個のアプリは最高グレードの「A +」を獲得しました

しかし、18個ものアプリが「F」というスコア値で不合格となりました。これは、暗号技術やSSL/TLSの実装に関する既知の脆弱性や悪用可能な脆弱性が原因で、通信が簡単に傍受される可能性があることを意味しています。

図14:モバイルバックエンドAPIのSSLセキュリティ

8.フィッシング詐欺

金融機関の顧客を対象とした29件のフィッシング詐欺が検出されました。対象となる銀行は以下のとおりです。:

フィッシングWebサイトは、e-bankingの資格情報を盗むことを目的としたバンキング用マルウェアを拡散したり、被害者の資格情報を盗むことを目的とした不正なログインフォームが準備されています。

悪意のあるWebサイトのほとんどは米国でホスティングされていました。

9.商標権侵害とドメイン・スクワッティング

われわれは、サイバースクワットの対象となったドメインのうち、違法、詐欺、あるいは欺瞞の可能性のあるものを約6500個発見しました。以下は、Wells Fargoへの接続を主張する新規登録されたドメインの例です。:

サイバースクワッティングのWebサイトの32%以上が、有効なSSL証明書を使ってHTTPS接続経由でアクセスが可能です。最も一般的な認証機関(CA)は次のとおりです。

  • Google Internet Authority G3 (47%)
  • COMODO RSA Domain Validation Secure Server CA (26%)
  • Let’s Encrypt Authority X3 (9.7%)

すべての不法占拠されたドメインの80%以上は、Bitcoinまたはその他の暗号通貨に関連するWebサイトを1つ以上所持していました。

ブランドの誤用は、FacebookやTwitterなどのソーシャルネットワークでも発生します。また、調査の中で、ユーザーを誤解させたり、正規な銀行に代わって偽のサービスを提供することを目的とした、これら2つのソーシャルネットワーク内で160を超えるスクワットページも特定しました。

タイポスクワッティングは通常、サイバースクワッティングよりも危険性が低いと言えます。ほとんどの場合、ブランドユーザーがブラウザでURLを誤って入力した際に、Webトラフィックを不正に盗むことを狙っています。
サードパーティによって、様々な(多くの場合違法な)目的のために不法占拠された、一般的なタイプミスにより入力する可能性があるドメインを1300以上検出しました。

タイポスクワッティングWebサイトの4%以上は、有効なSSL証明書を使用したHTTPS接続でアクセスが可能です。最も一般的な認証機関(CA)は次のとおりです。

  • Let’s Encrypt Authority X3 (77%)
  • DigiCert SHA2 High Assurance Server CA (8%)
  • Go Daddy Secure Certificate Authority (2%)

頻繁にタイポスクワットされたドメインは、不注意なユーザーをさまざまな出入口にリダイレクトし、被害者の地理的位置、デバイスの種類または言語に応じて、被害者をアダルトサイトまたは違法取引コンテンツを含むウェブサイトに誘導します。

宛先のWebサイトの30%以上に、Virus Totalで検出可能な既知のマルウェアまたはスパイウェアが含まれていました。

10.推奨事項

ImmuniWebのCEO兼創設者であるIlia Kolochenko氏は次のように述べています。

「我々が行った非介入的方法論の調査と、銀行が利用できる重要な資金源を考慮すると、この調査結果から、金融機関がアプリケーションセキュリティに対する既存のアプローチを迅速に改訂し、強化することを促進するべきだとわかります。今日では、データ漏洩のほとんどは安全性の低いWebアプリやモバイルアプリに関係しており、アプリケーションテストの重要性は過小評価されています。最近のBritish AirwaysによるWebサイトデータ侵害に対する1億8300万ポンドの罰金は、この点を明確に示しています。
 今日、サイバーセキュリティスキルの不足が深刻化していることを考慮すると、ほとんどのセキュリティチームは、最優先事項として厳しいコンプライアンス要件や規制要件に対応するという負担の大きい任務を負っており、他の重要なタスクやプロセスを放棄することも少なくありません。その結果、アプリケーションのセキュリティは頻繁に大きな影響を受けます。最終的には、これらの企業は実用的で利益志向のサイバー犯罪者にとって、容易に手の届く存在になりえます。」

ImmuniWebは、上記の問題のほとんどを回避するための4つの推奨事項を提案しています。:

  1. お客様のサイバーセキュリティ戦略を強化するために、GartnerのCARTA戦略の導入をご検討ください。
  2. 外部の攻撃対象領域にある資産の全体的かつ最新のインベントリを維持し、そこで使用されているすべてのソフトウェアとそのコンポーネントを特定し、実践的なセキュリティスコアリングを実行して、脅威に対応したリスクベースの修復を可能にします。
  3. 外部からの攻撃に対する継続的なセキュリティ監視を実装し、運用環境への導入前後に新しいコードをテストし、アプリケーションセキュリティに対するDevSecOpsアプローチの実装を開始します。
  4. 機械学習とAIの能力を活用して、時間のかかる日常的なプロセスを処理し、より重要なタスクのためにセキュリティ担当者を解放することをご検討ください。

AIに投資する前に尋ねるべき4つの実践的な質問
(4 Practical Questions to Ask Before Investing in AI )

詳細なサポートまたは専門家のアドバイスをご希望の際はお問い合わせください。

著者について