OSINTとダークウェブのデータを活用して金融サービスを保護する

金融業界は最も攻撃される業界の上位に毎年ランクインしていますが、それには十分な理由があります。金銭を狙うサイバー犯罪者にとって、お金や金融データ、そして数百万人分の個人情報を扱う銀行・保険会社・決済サービス提供会社は格好の獲物であるからです。

Contrast Securityによる最近の調査により、金融機関の3分の2が2024年にサイバーインシデントを経験していたことが明らかになりました。攻撃の大半は資金や機微情報を窃取することを目指すものでしたが、金銭ではなく単なる業務妨害を目的とする攻撃の件数も増加しました。

特にゼロデイ攻撃が急増しており、米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）によると、2024年に最も悪用された脆弱性の多くはパッチが利用可能になる前に攻撃に使われました。

サイバー犯罪者は金融機関への直接的な攻撃に加え、顧客の口座も標的としており、オンラインポータルや銀行アプリにバンキングマルウェアを仕掛けて資金を盗み取っています。こうした侵害を防ぐ責任は最終的には金融機関にあるため、プロアクティブな脅威インテリジェンスが不可欠です。

本記事では金融機関がオープンソースインテリジェンス（OSINT）とダークウェブ上のデータを活用することで脅威の予測や脆弱性の検出を行い、速やかに新たなリスクに対応する方法を説明します。

*本記事は、弊社マキナレコードが提携する英Silobreaker社のブログ記事（2025年3月27日付）を翻訳したものです。

バンキングマルウェアの脅威を予測する

マルウェアは依然として金融機関に対する最も執拗で、かつ絶え間なく進化する脅威の1つであり続けています。サイバー犯罪者は旧型のマルウェアをアップデートする一方で、新型バンキングマルウェアを日夜開発し、セキュリティ対策を回避しながらより広範に銀行アプリを攻撃できるようになることを目指しています。このようなマルウェアファミリーは多様化しているものの、その多くはオーバーレイを用いたフィッシングやキーロギング、スクリーンキャプチャといった共通のコア技術を採用し、銀行の顧客と従業員の両方から認証情報を盗み出しています。

近年の2つの事例は、バンキングマルウェアの拡大と進化を物語っています。2023年に発見されたPixPirateは、ブラジルの即時決済システムであるPixを自動化した不正送金で攻撃するマルウェアです。最近ではWhatsAppを介して拡散し、攻撃範囲を拡大していることが確認されています。2016年から活動しているGrandoreiroも長期にわたる脅威の一例です。当初このマルウェアはラテンアメリカの国々（※）を標的としていましたが、2020年にはヨーロッパに拡大し、その後は中南米全域に広がりました。Grandoreiroは大規模なフィッシングキャンペーンを通じて銀行システムに侵入しています。

※訳者注：ラテンアメリカとは、広義には米国とカナダを除く南北アメリカ大陸およびカリブ海諸国全体を指します。一方で、狭義には中南米のうちスペインとポルトガルの文化的影響を受けた国々の総称として使われる場合もあります。本記事では後者の意味で用いられていると考えられます。

マルウェアは多くの場合、言語的類似性や金融インフラの共通点、地政学的動機といった予測可能なパターンを辿って拡大します。例えばウクライナやその同盟国に対するロシアの国家支援型サイバー脅威は、ウクライナ侵攻後に増加しています。同様に、当初は特定の国の金融機関を標的にしていたマルウェアが似たような銀行環境の国へ移行するケースも多々あります。したがって英国の銀行があるマルウェアに攻撃されている場合、米国の金融機関も似た脅威に備える必要があります。

金融企業が脅威の変化を予測するためには、OSINTやダークウェブインテリジェンスの監視を行うことが重要です。Grandoreiroのような10年近く前に発見された脅威の存在は、マルウェアの拡大に時間がかかり得ることを示唆しています。インテリジェンス収集をプロアクティブに行うことでセキュリティチームは攻撃パターンの特定やマルウェアの進化の追跡ができ、脅威が組織内に侵入する前に防御手段を取ることができます。

OSINTを使い、マルウェアの脅威をマッピングして緩和する

バンキングマルウェアを用いたキャンペーンは、巧妙さの程度に差がありますが、初期アクセスの手法が驚くほど共通しています。悪意のあるショートカットや偽アプリ、ブラウザの拡張機能、そしてもちろんフィッシングが、金融業界を狙った攻撃の大半でその糸口として使用されています。こうした攻撃パターンを早期に特定することは非常に大切であり、OSINTは脅威が拡大するよりも先にその存在をマッピングする上で重要な役割を果たします。

高度持続型脅威グループBlind Eagleに関連するバンキング型トロイの木馬BlotchyQuasarを例に見てみましょう。OSINTを分析し、MITRE ATT&CKのようなフレームワークと照らし合わせることで脅威インテリジェンスチームはBlotchyQuasarの攻撃チェーンを追跡できます。つまり、悪意のあるPDFファイルを添付したスピアフィッシング攻撃用のEメールからデータ抽出までの流れを辿ることができるのです。企業や組織はこのように構造化されたアプローチを取ることで、似た形式のキャンペーンで使われる戦術を予測できるようになります。

別の例として、AppLiteというAndroidを対象としたバンキング型トロイの木馬を取り上げてみましょう。このマルウェアは偽の求人とフィッシングサイトを介して拡散されており、感染すると最終的にはデバイスが完全に乗っ取られます。AppLiteと過去の脅威の技法を比較することで防御側は繰り返し現れる脆弱性を特定し、パッチ適用の優先順位を決定し、インシデント対応プランを改善することができます。

既知のキャンペーンをインテリジェンスフレームワークにマッピングすることは、単に現在進行中の脅威を追跡する際に役立つだけでなく、プロアクティブな防御の実践にもつながります。近年のマルウェアキャンペーンの90％が同様の初期アクセスベクターを利用しているのであれば、セキュリティチームはそのベクターに応じた机上演習（TTX）で対応の準備状況をテストし、検出ルールや軽減策を調整することができます。

OSINTはマルウェアの追跡にとどまらず、悪用された脆弱性や新たな攻撃動向、そして業界全体に共通する侵害指標（IoC）に関する有意義な洞察をもたらします。これらを効果的に活用することで、金融機関は脅威がデジタル空間の玄関口へ脅威が到達する前に先手を打ち、優位性を保てます。

OSINTを超えて – ディープウェブとダークウェブのデータを活用する

貴重な知見をもたらすOSINTに対し、ディープウェブやダークウェブのデータからは異なる種類のインテリジェンスが得られますが、これらは往々にして十分に活用されていません。多くの組織はランサムウェア関連のブログやサイバー犯罪フォーラム、あるいは侵害サイトばかりに焦点を合わせていますが、そこで止まってしまうとセキュリティ対策を強化できるかもしれない肝心のインテリジェンスを見逃すことになります。

ここで課題となるのはデータ不足ではなく、データ過多です。玉石混交なダークウェブ上の「情報」を効率的にフィルタリングするためには、精度の高いキーワード追跡やエンティティ検出、そしてこれらの自動化が必要になります。適切なツールがあることで、企業や組織はこういったデータを運用できるようになり、脅威の検出とその影響を軽減する作業が大幅に改善されるのです。

金融詐欺の追跡

ディープウェブ上のデータを活用する最も一般的な方法の1つに、盗まれたクレジットカード情報の売買と不正利用を意味する「カーディング」の監視があります。例えば最近では、ThreatFabricの研究者によってGhost Tapという攻撃手法が特定されました。

このGhost Tapは、Apple PayやGoogle Payのようなモバイル決済システムに紐付けられた盗難クレジットカード情報のキャッシュアウトを可能にする戦術です。攻撃者はワンタイムパスワード（OTP）を傍受し、盗み出した資金をマネーミュール（お金の運び屋）のネットワークに流すことで取引の検出を困難にします。ダークウェブ上では似たような手口について常に議論されており、犯罪者はこれらの技法をほかの決済システムに適用する方法を模索しています。したがって決済代行業者（Apple PayやGoogle Payなど）や銀行、その他のモバイル決済システムを運用する企業は、このような脅威に注意を向け、次に自分たちを脅かしかねない新たな手口を見つけるためにダークウェブの監視を続ける必要があります。

ロイヤルティプログラム詐欺

クレジットカード詐欺に加え、ロイヤルティプログラムの不正利用も深刻化している問題です。ダークウェブでは航空会社やホテル、小売店から窃取または不正に取得されたポイントを販売する広告を頻繁に見かけます。

詐欺師はポイントをそのまま販売することもありますが、不正利用の手口を共有し、ロイヤルティプログラムを操作して追加の特典を得る方法を伝授することもあります。こうした手口では航空会社のマイルやホテルでの宿泊、高額商品などあらゆるものがキャッシュアウトされる可能性があるため、実際に金銭的な損失をもたらします。

先駆的に行動する組織はこうした問題を注視しており、ロイヤルティプログラムのセキュリティギャップを埋め、不正な引き換えが発生しないようアカウントの不審なアクティビティを監視しています。

ダークウェブ上のインサイダー向けマーケット

ダークウェブフォーラムは、悪意のある内部関係者のマーケットとしても機能します。ここでは複数の脅威アクターが企業ネットワークへのアクセスを公然と喧伝し、認証情報やVPNアクセス、管理者権限を販売しています。

一部の販売者は特定の企業や組織に内部関係者がいると主張しており、これはセキュリティチームにとって重要なインテリジェンスになります。また、それ以上に気をつけたいのは企業へのアクセス購入に関する投稿で、これは次なる脅威の兆候となる可能性があるため、速やかに調査を行う必要があります。つまり、アクセスブローカーのフォーラムを監視することは、早期警戒とリスク軽減のために必須なのです。

幹部職に対する脅威の監視

ダークウェブ上ではネットワークセキュリティの話題にとどまらず、幹部職に対する直接的な脅迫に関する投稿がますます増えています。漠然とした敵意を示すだけのフォーラムもあれば、自宅住所の特定や何らかの行動を喚起するなど具体的な脅迫へとエスカレートするようなフォーラムもあります。

近年ビジネスリーダーを狙った大規模な攻撃が相次いでいるため、幹部職の保護が注目を集めています。多くの組織では現在、幹部職に関する言及や連絡先および個人情報の流出に対する継続的な監視が求められています。

脅威アクターが幹部職の個人情報そのものを明示的に公開する必要はありません。なぜなら電話番号を投稿し、迷惑行為に及ぶ方法を追記するだけで大きな混乱を招くことが可能だからです。メールアドレスや住所、さらにはソーシャルメディアアカウントにも同様の戦術を使うことができます。

幹部職に関連した情報の監視はサイバー脅威への対策のみにとどまらず、物理的セキュリティと運用セキュリティの両方において極めて重要な役割を担っているのです。

エクスプロイトと脆弱性を追跡する

ダークウェブは直接的な脅威に加え、エクスプロイトに関する議論が集まる空間にもなっています。攻撃者は脆弱性を共有し、ゼロデイ攻撃を販売するだけでなく、攻撃チェーンをブラッシュアップさせています。ソフトウェアを開発する組織やサードパーティベンダーを利用する組織は、こうした会話を追跡し、大きな問題に発展する前にリスクを特定する必要があります。

組織の技術スタックに関するエクスプロイトについて攻撃者が議論している時期を把握することは、セキュリティチームにとって非常に意味のあるインテリジェンスとなります。これにより予防的なパッチ適用や監視の強化、そして新たな脅威への迅速な対応が可能になります。

OSINTとダークウェブインテリジェンスを組み合わせる

金融業界はサイバー脅威や詐欺スキーム、インサイダーリスクの絶え間ない波に直面しており、その多くはOSINTの情報源やダークウェブフォーラムで初めて表面化します。OSINTが新たな傾向や脆弱性、攻撃キャンペーンに関する重要な可視性を提供する一方で、ダークウェブインテリジェンスは組織のセキュリティや業務に直接影響を与える潜在的なリスクを明らかにします。

ひとつの情報源のみで全体を見渡すことは不可能です。OSINTとダークウェブインテリジェンスを組み合わせて状況を正しく認識することで、組織は進化する脅威を追跡し、より早くリスクを検知すると共に、確信を持った対応が可能になるのです。

Silobreakerは膨大な量の構造化・非構造化データからノイズを排除し、その意味を明らかにすることで、このプロセスを簡略化します。AIを活用した当社の脅威インテリジェンスプラットフォームにより、インテリジェンス収集は自動的に行われ、エンティティ間の関係性が明らかになり、誤検知が削減されます。非構造化データやダークウェブデータ、そしてプレミアムデータソースを集約したSilobreakerの実用的なインテリジェンスは、カスタマイズされたダッシュボードやレポート、アラートを通じて随時提供可能です。

主要メディアによる報道や認証情報の流出、あるいはダークウェブのアンダーグラウンドマーケットプレイスなど、どこからともなく近づいてくる脅威に対して常に先手を打てるよう、Silobreakerをお役立てください。インテリジェンスを収集するだけでなく運用する能力によって、事後対応的な危機管理をプロアクティブなセキュリティ管理にレベルアップできます。

ウェビナー「Using OSINT and dark web data to safeguard organisations from cyberattacks」の全編は、こちらから視聴できます。