2024年1月:不正な第三者が、LoanDepotの顧客約1,660万人の機密性の高い個人データにアクセスした。2025年8月:Allianz Lifeがサイバー攻撃を受け、100万人以上の顧客の個人データが流出する被害に遭った。2026年2月:BridgePay Network Solutionsに対するランサムウェア攻撃により、フロリダ州パームベイ市のオンライン請求ポータルが利用不能となった。
金融機関が攻撃者にとって格好の標的となっていることから、明確な傾向が見て取れる。
こうした攻撃は、多額の金銭的利益や市場の混乱を目的として、組織的なサイバー犯罪グループや国家が支援する主体によって行われることが少なくありません。金融業界で働いていて、自分にはリスクがないと思い込んでいるなら、それは事態を甘く見ていることになります。
侵入経路が高度なものであることは稀です。多くの場合、フィッシングメールから始まります。そこから攻撃者は内部システム内を横方向に移動し、アクセス権限を昇格させながら、当初の標的である決済インフラ、取引プラットフォーム、顧客データへと徐々に接近していきます。
多くの金融機関がここを見落としがちですが、ネットワークの可視性が限られていると、その動きは手遅れになるまで気づかれない可能性があります。実際、検知までの平均期間は181日に及ぶこともあります。
これは、可視性のギャップを解消し、検知・対応体制を強化しようとした大手金融機関が直面した課題でした。そこで同社は、OPSWAT MetaDefender NDRを導入し、インフラの重要なセグメント全体に展開することで、ネットワークトラフィックに関するより深い洞察を得て、脅威をより早期に検知できるようにしました。
これが彼らの物語です。
ネットワークの可視性の低さが、顧客のシステムを横方向の移動の脅威にさらした
顧客は従来型の監視ツールを導入しており、これらは主にエンドポイントのアラートや境界防御に重点を置いていました。これらのツールは、既知のマルウェアや不審なログイン試行の検出においては非常に有効でしたが、ネットワークの可視化機能には不十分さが見られました。
つまり、ネットワークは「死角」のような役割を果たしており、まさにそこがセキュリティシステムの最も脆弱な部分であり、SOCチームがインシデントに対処する能力が最も不足していた箇所だった。こうした死角が引き起こしたのは:
横方向の動きの検出における遅延
銀行やその他の金融機関において、ラテラルムーブメントとは通常、攻撃者が最初に侵害したワークステーション(銀行窓口担当者のノートパソコンやバックオフィスの端末など)から、重要なシステムへと移動する段階を指します。こうしたシステムには、決済処理システム、SWIFTインフラ、あるいはコアバンキングデータベースなどが含まれます。
当社のお客様の場合、境界レベルの警報に依存していたために遅延が生じていました。これらの警報は、届きが遅れるか、あるいはまったく発動しないことがありました。従業員数が5万人以上いるため、攻撃者がシステムに侵入する機会は数多く存在していました。これは、お客様が決して冒そうとはしなかったリスクでした。
法科学捜査のワークフローの遅延
金融機関では、SOCチームがファイアウォールのログ、エンドポイントのアラート、認証ログなどを相互に関連付ける必要があるため、データソースが分散していることが原因で、侵害発生後のフォレンジック調査が遅延することがよくあります。迅速な対応が求められる状況下であっても、これらのチームは、実際に何が起きたのかを特定し、侵害を封じ込めるための最善の対策を講じるのに苦労することがあります。
端的に言えば、SOCチームは目隠しをされたような状態で、攻撃の可能性がある者たちはこの隙につけ込んだだろう。
MetaDefender NDR 検知とフォレンジックをどのようにNDR
MetaDefender NDR導入により、可視性のギャップは解消されました。ネットワークハンティングに特化してMetaDefender NDR 、お客様の環境において不足していたネットワーク可視化機能と分析ツールをNDR 。
MetaDefender NDR
MetaDefender NDR 、業務に支障をきたすことなく、組織がネットワーク上の脅威をより迅速に検知、調査、対応できるようNDR 。
ネットワークのテレメトリを分析して異常なトラフィックパターンを特定することで、システム間の横方向の移動を検知し、サイバー攻撃に関連する通信を明らかにします。
このプラットフォームは、一般的なSOCアナリストの専門知識を拡張することを目的としています。AIを活用した検知モデルにより、ネットワークの挙動を継続的に分析し、攻撃ライフサイクルの早い段階で攻撃者の活動を示唆する微妙な異常を特定します。
このプラットフォームにより、お客様のSOCのパフォーマンスを低下させていた主な課題が解決されました。
横方向の動きの検出
MetaDefender NDR 、アクティビティを報告するためにエンドポイントを確認するのではなく、ネットワークレベルでイースト・ウエスト・トラフィックを継続的にNDR 、内部システム間のトラフィックフローを分析します。これにより、繰り返される認証試行、異常な接続、あるいは通常は相互に通信することのないシステム間の通信といったパターンを検知することができます。
通常の内部通信の挙動のベースライン設定と、ほぼリアルタイムで行われる異常検知を組み合わせることで、遅延を低減しています。
より迅速な科学捜査
MetaDefender NDR 、トラフィックのメタデータをNDR 記録し、事後分析を可能にします。IOC(侵害の兆候)が検出されると、システムは過去に内部システムが当該IOCと通信したかどうかを遡って確認することができます。
これにより、SOCチームはインシデント発生当日のトラフィックを再構築したり、過去のログを探し出したりする必要がなくなります。アナリストは保存されたネットワークテレメトリを直接照会できるため、攻撃発生から時間が経過すると規制違反につながる恐れがある金融業界において、特に有用です。
さらに、AIを活用した調査ワークフローにより、アナリストはアラートの関連付けや高リスクなインシデントの優先順位付けを行い、手動による調査時間を短縮することができました。これにより、同機関は事後対応型の検知から、予防的なネットワーク監視へと移行することができました。
SOCの可視化と脅威検知に対する明確な効果
MetaDefender NDR 、可視化の対象をネットワーク層へとNDR 、内部トラフィックに行動分析を適用しました。これは、セグメント化された金融環境において特に効果的です。また、これによりアナリストはデータ収集に費やす時間を削減し、意思決定に充てる時間を増やすことが可能になりました。
各分野における結果は以下の通りです:
| 影響範囲 | 測定可能な成果 |
|---|---|
| ネットワーク可視性 | 社内財務システムの通信状況を詳細に可視化した。 |
| 脅威の検知速度 | AIを活用した分析により、不審な活動や横方向の移動を早期に検知することが可能になった。 |
| 調査の効率性 | SOCアナリストがアラートを調査するのに要する時間を短縮した。 |
| 運用上の保護 | ネットワーク内部で活動する高度な脅威を検知する能力が向上しました。 |
| インシデント対応 | 事態が悪化する前に、潜在的な攻撃に対して迅速に対応する。 |
| コンプライアンス対応体制 | 金融規制当局の監督要件を満たすためには、監視体制の強化が必要である。 |
脅威が検知されずに動き回るなら、可視化こそがすべてとなる
強盗映画でも見たことがあるし、現実でも目にしてきた。金融機関にとって、最初の情報漏洩そのものは危険ではない。もし早期に発見されれば、企業の弱点を露呈する以外、大きな被害をもたらすことはないからだ。
しかし、攻撃者がシステムに侵入しても、すぐに正体を明かさない場合、深刻な危険が生じます。彼らは観察を続け、こっそりと動き回り、最終的に最も重要なもの――支払い情報や機密性の高い顧客データ――のすぐそばにたどり着いてしまうのです。
だからこそ、セキュリティ対策は境界線内だけに限定してはならない。そうしなければ、IOCは手遅れになるまで発見されないままになってしまう。
MetaDefender NDR導入により、当社のお客様は、限定的な検知から継続的なネットワーク監視へと移行しました。これにより、SOCチームは不審な動作を発生直後に検知し、ネットワーク信号をパターンとして関連付け、異常がインシデントに発展する前に対処できるようになりました。
貴社で、境界を越えた脅威の検知と対応方法を見直しているなら、従来の対策の枠を超えて、ネットワークレベルでのアプローチを検討する時期かもしれません。ぜひお問い合わせいただき、MetaDefender NDR どのようにNDR 。
