世界のフィンテック新興企業Top100におけるアプリケーションセキュリティの現状

最も有名で資金豊富なフィンテック新興企業100社のうち98社は、フィッシング、ウェブ、モバイルアプリケーションのセキュリティ攻撃に対して脆弱です。
CB Insightsは最近、「The Fintech 250:The Top Fintech Startups Of 2018」というタイトルのレポートをまとめました。レポートによると、250社が947件の取引で合計約530億ドルの資金を調達しました。このレポートには、初期段階(シード/シリーズA)から資金の豊富なユニコーン企業まで、さまざまな開発段階にある企業が含まれています。
今日、私たちはデジタルの変革と、従来の銀行モデルに対する新興のフィンテック企業の影響の増加を観察しています。ゲームを一変させるユニコーンの顕著な例であるRevolutについては、誰もが聞いたことがあるでしょう。都市化、ブロックチェーン、AIテクノロジーの急速な普及は、世界の金融業界を混乱に陥れ、動揺させています。
「S&Pグローバルワールド100大銀行のアプリケーションセキュリティの現状」という調査について肯定的なフィードバックをいただいたため、上記のCB Insightsレポートから上位100のフィンテック新興企業を対象に同様の調査を実施することにしました。
この研究の目的は、フィンテック企業のウェブおよびアプリケーションセキュリティの全体的な状況を明らかにし、従来の銀行の結果と比較することです。
主な研究結果
セキュリティ
- 100%の企業が、放置または忘れられたウェブアプリケーション、API、およびサブドメインに関連するセキュリティ、プライバシー、およびコンプライアンスの問題を抱えています。
- 250のフィンテック企業のうち8つのメインウェブサイトと64のサブドメインに、中リスクまたは高リスクの、公開されていて悪用可能なセキュリティ脆弱性が少なくとも1つ発見されました。
- 最も一般的なウェブサイトの脆弱性は、XSS(クロスサイト・スクリプティング、OWASP A7)、機密データの露出(OWASP A3)、不適切なセキュリティ設定(OWASP A6)でした。
- パッチが適用されていない最も古いセキュリティ脆弱性はCVE-2012-6708で、2012年以降に公開されているjQuery 1.7.2に影響を及ぼします。
- モバイルアプリケーションのうち100%において、中リスクのセキュリティ脆弱性を少なくとも1つ含んでおり、97%は、少なくとも2つの中リスクまたは高リスクの脆弱性を含んでいます。
- モバイルアプリケーションのバックエンド(REST/SOAP API)の56%には、SSL/TLSの設定に関する重大な設定ミスやプライバシーの問題があり、 ウェブサーバーのセキュリティ強化が不十分です。
コンプライアンス
- 62%の企業は、自社のメインウェブサイトでもPCI DSSコンプライアンステストに合格しませんでした。
- 同様に、64%の企業が自社のメインウェブサイトでGDPRコンプライアンステストに合格しませんでした。
目次
- ウェブサイトセキュリティ
- SSL/TLS暗号化セキュリティ
- PCI DSSおよびGDPR ウェブサイトコンプライアンス
- ウェブアプリケーションファイアウォール(WAF)の使用
- モバイルアプリケーションとバックエンドAPI
- 商標権侵害とブランド乱用
- S&P Global 100大銀行とのベンチマーク
- 推奨事項と結論
1. 方法論とデータソース
S&P Globalの格付けによって世界の大手銀行100行のウェブおよびモバイルアプリケーションのセキュリティをカバーした、以前の銀行調査から拡張された方法論を活用しました。
OSINT および非侵入テスト技術を使用して、6つの地域と17カ国からの企業を網羅した前述のCB Insightsレポートから、企業の外部のウェブアプリケーション、API、モバイルアプリを調査しました。

調査期間中、以下の企業の外部資産およびアプリケーションをテストしました。

さまざまな非侵入型のセキュリティ、プライバシー、コンプライアンスのチェックを実施しました。すべてのテストツールはオンラインで利用可能であり、調査結果の再現や、記述されたセキュリティ上の欠陥の修正後の改善の検証に自由に使用できます。
- SSLセキュリティテスト
- ウェブサイトセキュリティテスト
- モバイルアプリセキュリティテスト
- フィッシングテスト
PCI DSSコンプライアンステストは、この規格の最新バージョン3.2.1の要件2.3、4.1、6.2、6.5、および6.6を対象としています。(ウェブサイトが『カードホルダーデータ環境』内にあると仮定)
GDPRコンプライアンステストは、制定された規則の第5条1項、第5条2項、第6条1項、第6条4項 (e)、第7条、第25条1項、第32条1項 (a)(b)(d) 及び第35条7項 (f) を対象としました。(ウェブサイトがEU居住者のPIIを扱ったり保管していると仮定)
オープンソースの非侵入型ソフトウェア構成分析(SCA)および独自のWebソフトウェアは、OWASP Top10リストから公開された脆弱性について、フィンガープリントされたソフトウェアバージョンを検証しました。
さらに、コンテンツセキュリティポリシー(CSP)やその他のセキュリティおよびプライバシー関連のHTTPヘッダーも検査しました。
2. ウェブサイトセキュリティ
(1) SSL暗号化と (2) 適用されるPCI DSSおよびGDPRコンプライアンス要件を完全に満たすウェブサイトセキュリティの両方にて、最高の評価「A+」を受けた主要Webサイトは2つだけでした。
- Brex Inc(www.brex.com)A +
- N26 GmbH(N26 Inc)(www.n26.com)A +
残りのメインウェブサイトでは、古いウェブソフトウェアまたはそのコンポーネントに関連する64件のセキュリティ問題を特定しました。あるウェブサイトには、17個もの古いJSライブラリや他の外部ソフトウェアコンポーネントがありました。
平均すると、各ウェブサイトには、JSライブラリ、ウェブフレームワーク、その他のサードパーティコードなど、少なくとも1つのサードパーティコンポーネントが含まれていました。以下は、メインウェブサイトのセキュリティ評価です。


メインウェブサイトの重要性を考えると、評価「F」を検出した6件はただちに改善の必要があります。
しかし、サブドメインの場合、状況はかなり悪くなります。テストしたサブドメイン全体で、合計2,474以上の古いソフトウェアコンポーネントを特定しました。サブドメインのセキュリティに関する情報を次に示します。
- サブドメインのうち1,074個には、少なくとも1つの古いソフトウェアコンポーネントがありました
- 64個のサブドメインに、悪用可能な脆弱性を持つ古いソフトウェアコンポーネントが少なくとも1つありました
- 最も古い脆弱なCMSはWordPress4.7.1で、これまでに26件の既知のセキュリティ問題があります
以下は、サブドメインのウェブサイトセキュリティ評価です。


3. SSL/TLS暗号化セキュリティ
HTTPS SSL/TLS暗号化の実装と設定は非常にうまく行われています。評価「B」を受けたメインウェブサイトは1つだけでしたが、他のすべてのウェブサイトは賞賛に値する評価「A」か、最高の評価「A+」を受け取りました。


上記で説明したウェブサイトのセキュリティの問題と同様に、サブドメインでのHTTPS暗号化の状況には注意が必要です。93個ものサブドメインに失敗した評価「F」があり、537個は信頼できない、または期限切れのSSL証明書を持っていました。


4. PCI DSSおよびGDPR ウェブサイトコンプライアンス
以下は、メインウェブサイトのPCI DSSコンプライアンステストです。

62件ものウェブサイトが、PCI DSSコンプライアンステストの適用要件を満たしていませんでした。その主な原因は、時代遅れのオープンソースや商用ソフトウェアとそのコンポーネント(要件6.2)です。
ただし、サブドメインのPCI DSSコンプライアンステストは、メインウェブサイトと同等です。

以下は、メインウェブサイトのGDPRコンプライアンステストです。

64件のメインウェブサイトがGDPRコンプライアンステストに不合格になりました。脆弱性のあるウェブソフトウェアの2番目に多い原因は、Cookieの免責事項がないか、追跡、PII、またはその他の機密情報を転送するCookieのセキュリティフラグが設定されていないことです。3番目の原因は、プライバシーポリシーが欠落しているか、アクセスできないことです。
ほとんどのサブドメインは同様の理由でGDPRコンプライアンステストに失敗してしまいました。

5. ウェブアプリケーションファイアウォール(WAF)の使用
ウェブアプリケーションファイアウォール(WAF)は、メインウェブサイトの95%で使用されており、その数は非常に多くなっています。
サブドメインに関しては、WAFによる保護率が65%と低い数値に見えますが、他産業との比較すると比較的高い結果となっています。

6. モバイルアプリケーションとバックエンドAPI
個人データ、財務データ、その他の機密データを扱う61個のモバイルアプリケーションを検出し、監査しました。すべてのモバイルアプリは、モバイル OWASP Top10のセキュリティとプライバシーの問題についてテストされました。これらのアプリケーションで処理される財務データやその他のデータの機密性を考えると、下記の統計は非常に憂慮されるべきものです。
- モバイルアプリケーションの100%に少なくとも1つの中リスクのセキュリティ脆弱性が含まれていました
- モバイルアプリケーションの97%に2つ以上の中リスクのセキュリティ脆弱性がありました
- モバイルアプリケーションの3%に少なくとも1つの高リスクのセキュリティ脆弱性が含まれていました
OWASP Mobileトップ10の最も一般的な3つのセキュリティ問題は次のとおりです。
- M1:プラットフォームの不適切の利用 (299件存在)
- M2:安全でないデータストレージ (210件存在)
- M7:クライアントコード品質 (153件存在)
補足として、ユーザーのデータが送受信されるモバイルバックエンドAPIのWebセキュリティとSSL/TLS暗号化をテストしました。最も多かったのは、評価「C」でした。モバイルバックエンドセキュリティの不十分な対策状況を強調しています。


APIを介して送受信されるデータのSSL/TLS暗号化はかなり優れていますが、9つのバックエンドAPIには攻撃可能な脆弱性が含まれていたか、安全なHTTPSではなくクリアテキストHTTPプロトコルが使用されていました。


7. 商標権侵害とブランド乱用
100社のうち90社がサイバースクワッティングの被害者で、少なくとも1つのドメインを競合他社や悪意のある第三者によって乗っ取られ、ウェブトラフィックを盗まれていることがわかりました。
また、86の企業が少なくとも1つのドメインを使用し、不注意なユーザーをスパムゲートウェイ、アダルト向けショップ、さらにはマルウェアやランサムウェアに感染したウェブサイトに転送していることを確認しました。

8. S&P Global 100大銀行とのベンチマーク
以下は、この調査で得られたフィンテック企業と、これまでの調査で得られた最大規模の銀行組織との比較です。

これは、次の要因に起因すると考えられます。
- 銀行のITインフラストラクチャは比較にならないほど大規模で複雑かつ長期に渡って存在しているため、インベントリ作成、保守、および保護に多大な労力と時間とコストがかかる
- ビジネスに不可欠なレガシー・アプリケーションが銀行業界に広く存在する一方で、新興企業は通常、互換性に関する多くの課題を回避するためにテクノロジーをゼロから構築している
- 銀行業界では、規制の枠組みやコンプライアンスの増加により、意思決定プロセスが長期化している
- フィンテック新興企業は投資家から莫大な資金を調達した後、サイバーセキュリティと人材獲得に投資するために比較的大規模で、自由に配分できる資金を保有している
9. 推奨事項と結論
ImmuniWebのCEO兼創業者であるIlia Kolochenkoは次のように述べています。
「この調査は、ダイナミックなフィンテック企業と定評のある金融機関の両方が直面している、急激に悪化するサイバーセキュリティの課題を強調しています。
一見すると、フィンテック業界は比較的好調に推移していますが、組織ごとの管理対象ITシステムの量と複雑さを相関させると、銀行より必ずしも高いレベルにあるとは言い切れません。調査で得られた数字は、フィンテック企業の中でサイバーセキュリティーがまともなレベルにあることを強調されています。
この調査では、システムにおける網羅的な可視性の欠如が、情報セキュリティの課題であり、ときにはほとんど克服できない障害の1つであることが強調されています。クラウドおよびコンテナテクノロジーの急増、ビジネスに不可欠なプロセスのアウトソーシング、および多数のサードパーティとのデータ共有を考慮すると、情報セキュリティは、依然として不完全な可視性のままです。
ImmuniWebでは、ImmuniWeb Discoveryによってこれらのグレーゾーンに取り組み、リスクを可視化させることを確約しています。外部の攻撃対象を明確にし、測定可能なリスクと実行可能なセキュリティ評価を提供し、十分な情報に基づくデータ主導の意思決定プロセスを可能にするように設計されています。」
ImmuniWebは、レポートに詳述されているセキュリティ問題のほとんどを避けるために、以下の推奨事項を提案しています。
- GartnerのCARTA戦略を導入して、サイバーセキュリティを強化することを検討してください。
- 外部からの攻撃対象領域にある資産全体の最新インベントリを維持し、そこで使用されているすべてのソフトウェアとそのコンポーネントを特定し、実践的なセキュリティスコアリングを実行して、脅威に対応したリスクベースの修復を可能にします。
- 外部からの攻撃に対する継続的なセキュリティ監視を実装し、運用環境への導入前後に新しいコードをテストし、アプリケーションセキュリティに対するDevSecOpsアプローチの実装を開始します。
- 機械学習とAIの能力を活用して、時間のかかる日常的なプロセスを処理し、セキュリティ担当者をより重要なタスクに解放することを検討してください。「AIに投資する前に尋ねるべき4つの実践的な質問」
詳細なサポートまたは専門家のアドバイスが必要ですか?今すぐ無料トライアル版をご利用いただくか、お問い合わせください。