BCB 強盗事件後の最初の大騒ぎにもかかわらず、この事件やその他の関連攻撃は、SWIFT 自体が直接侵害された結果ではないようです。むしろ、攻撃者はさまざまな APT（高度な持続的脅威）の手法を用いて、被害を受けた銀行のネットワークに侵入したことを示す証拠がある。シャドウ・ブローカーズによってリークされた文書でも、侵入の標的は直接 SWIFT ではなく、他の銀行に決済サービスを提供する EastNets 社であったとされています。

組織への侵入に使用される最も一般的なAPT手法は、ユーザーのワークステーションにマルウェアを展開するスピアフィッシング攻撃や水飲み場攻撃に依存しています。例えば、2016年7月、攻撃者は悪意のある添付ファイルを含むフィッシングメールを使用してUnion Bank of Indiaの境界を突破することができました。これにより、攻撃者は1億7,000万ドル相当のSWIFT取引を開始しましたが、幸いにも同銀行は後にこれを阻止することができました。

Kaspersky Labsが調査した、2016年2月のBCB強盗に関連するとされる最近のケースでは、攻撃者は典型的な水飲み場のシナリオで侵害された政府のウェブサイトを通じてエクスプロイトを配信することにより、無名のヨーロッパの銀行のネットワークに侵入することができました。ちなみに、このエクスプロイトはAdobe Flash Playerに影響を与えるもので、ゼロデイではありませんでした。銀行はソフトウェアをアップデートする措置を講じていましたが、アップデートプロセスは何度も失敗し、対策は取られませんでした。

攻撃者が、脆弱性のあるサーバーやウェブアプリケーションを通じて境界を突破する、より伝統的なテクニックを用いるケースはまだあまり見受けられません。2016年2月にBCBを標的にしたのと同じグループに関連する別の最近のケースでは、攻撃者はインターネット上に公開されたウェブ・アプリケーションの脆弱性を介して、南アジアの銀行のネットワークへの最初の足掛かりを築いたとされています。

どのような方法で最初の足がかりを得るかにかかわらず、攻撃者はその後、ネットワークとユーザーを列挙し、さらにネットワーク内に拡散するテクニックを用います。これは、内部ネットワークがフラットな構造であることが多く、ユーザー LAN、DMZ、および重要な決済システム間の分離が最小限であるという事実によって容易になることが多いです。つまり、攻撃者は侵害されたどのホストからでも決済システムに到達できることが多いのです。

攻撃者は、決済システム（SWIFT または SWIFT ネットワークに決済指示を送信する他のアップストリームシス テム）に合法的にアクセスできるユーザーを特定し、そのユーザーを危険にさらすことに横の動き を集中させる可能性が高いです。攻撃者の位置によって、侵害されたワークステーションやサーバ上のユーザの行動を観察することで、攻撃者は 2 つのシナリオのいずれかを実行できるようになります。最初のシナリオでは、攻撃者は手動でキーを入力し、支払い指示を承認する権限を持つユーザーを侵害できるかもしれません。第 2 のシナリオでは、攻撃者は決済システムへの管理者アクセス権を持つユーザーを侵害でき る可能性があります。この場合、例えば、不正な決済指示を挿入するためにデータベースやメッ セージ交換システムを改ざんすることが可能になります。たとえば、BCB のサーバーで SWIFT 固有のマルウェアが発見された BCB の強盗事件のように、決済システムへの管理者アクセスによって、攻撃者は特別に細工したマルウェアを展開することもできます。このマルウェアの目的は、SWIFTの決済処理ソフトウェアであるSWIFT Alliance Accessの動作を変更し、レポート機能を無効にすることで攻撃者の痕跡を消すことでした。

金融機関は、このような攻撃から身を守るためにどのような準備をすればよいのでしょうか?

私たちは、こうしたハッキンググループがいかに洗練され、機知に富み、時には国家を後ろ盾にすることさえあることを目の当たりにしてきました。彼らは、さまざまな手法を大量に使用して組織のネットワークに侵入し、横展開して適切な従業員とアカウントを危険にさらし、決済システムにアクセスします。従来の脆弱性中心のアプローチやコンプライアンスベースのアプローチでは、各システムを個別に調査することになり、こうした高度な脅威に対する有効性はありません。

これとは対照的に、金融機関は、攻撃者が決済システムに到達するための経路を理解し、マッピングすることに防御努力を集中する必要があります。このような攻撃経路をマッピングすることは、予防、検知、および対応能力への投資の優先順位付けに役立ちます。

場合によっては、攻撃経路を分析することで、攻撃者が利用する可能性のある最も重要な経路のいくつかを特定し、取り除くことが可能になります。例えば、攻撃者は一般的に侵害されたユーザワークステーションまたは DMZ サーバから攻撃を開始し、横方向に移動してペイメントシステムに到達することを説明しました。ペイメントシステムを DMZ やユーザ LAN から分離することは、この経路に関連するリスクを低減するた めに適用できる効果的なコントロールである。もう 1 つの一般的な経路は、攻撃者が侵害されたユーザ、特に管理者権限を持つユーザから取得した正当なクレデンシャルを活用することです。この経路を突破することをより困難にするために、決済システムの管理には、多要素認証に よるブレークグラス手続きが必要です。

とはいえ、銀行のような複雑な環境では、特定された攻撃経路をすべて完全に排除することは不可能です。完全に塞ぐことができない必然的に残る攻撃経路こそ、検知と警告の機能に重点を置くべきものです。予防策を実施することで、攻撃者を挫折させ、既知のよく監視された経路を通らせることができます。攻撃者は途中で多くのコントロールにつまずくため、悪意のある努力は鈍ります。その結果、攻撃者は「うるさい」存在となり、アラートが発生することになります。これにより、脅威調査チームやインシデント対応チームは、攻撃者が王冠の宝石にたどり着く前に、攻撃者を特定し、封じ込め、排除するチャンスをより早く得ることができます。

侵入検知と脅威ハンティング・チームが自由に使えるもう一つの効果的なテクニックは、エンドポイントの異常検知です。現代の攻撃者が使用する攻撃経路の多くは、従来のネットワークトラフィックログを見るだけでは早期発見が困難な横移動テクニックに依存しています。しかし、ユーザーワークステーションなどのエンドポイント上の不審なアクティビティを見れば、攻撃者の悪意のあるテクニックが明らかになります。効果的でアットスケールなエンドポイント異常検知は、攻撃者が決済システムへの重要な攻撃経路を通過しようとする際に、攻撃者の早期特定をサポートします。

結論

あらゆる資産の防衛と同様に、SWIFT のような決済インフラの防衛を成功させるには、それを攻撃しようとする攻撃者と、そのために彼らが利用できる技術を理解する必要があります。この理解を首尾一貫したマップに統合し、敵対者が目標を達成するために通過する可能性のあるさまざまな攻撃経路を把握する必要があります。このような攻撃経路を中心に構築された防御戦略によって、組織は、脅威者が最終的な目標に到達する前に、可能な限り効果的な防御と検知を行うことができます。