Akamai Diversity
Home > Banking / Financial Services > Dyn社へのDDoS:金融サービス業界への広範な影響 【第1部】

Dyn社へのDDoS:金融サービス業界への広範な影響 【第1部】

昨年末に起きたDyn DNSサービスに対するDDoS攻撃は、世界の金融サービス業界全体に多大な影響を及ぼしました。そして、この攻撃から学んだ技術上のリスクと教訓をより深く理解する事例となりました。

2部構成のこのブログの第1部では、この攻撃が銀行、保険会社、そして業界内の他の企業に与えた影響を分析したいと思います。第2部では、金融サービスウェブサイトの技術リスクをよりよく理解するために詳細について掘り下げ、この業界における教訓を引き出す予定です。

※ この記事はAkamai Technologiesの金融サービス担当最高戦略責任者であるRich Bolstridge が執筆したBlog記事の翻訳をもとにしています。

この攻撃が銀行に与えた影響とは?

 10月21日金曜日の朝、Dyn DNSサービスを標的にしたDDoS攻撃が始まりました。メディアが 大々的に報道したように 、何百万というユーザーが、Twitter、Spotify、CNNのような人気サイト、その他何百ものウェブサイトへのアクセスが出来なくなりました。まだあまり報道されていない内容として、この攻撃の結果が銀行や金融サービス企業に及ぼした影響と障害があります。

 影響の例として、下の図表1をご覧ください。このスキャッタープロット散布図は、Dynatrace 社のパブリックベンチマークツールより得たものです。このツールをご存じない方のために説明すると、Dynatrace社は世界中の市場で何千社もの企業に対して何百もの合成スクリプトを走らせ、そのテスト結果を毎月公開しています。これは各市場で最も速く最も確実なウェブサイトの「ランキング」レポートとして、誰もが自由にアクセスできる情報です。同社は毎年末、「Dynatrace Best of the Web」の金賞、銀賞、銅賞を各市場のトップ企業に授与します。これは自社のデジタル・エクスペリエンスのパフォーマンスや信頼性を重視するデジタルチームや企業がほしいと切望する賞となっています。

 以下が、米国の銀行についてのテストです。Dynatrace 社は米国中の銀行数十社のホームページに対し、12のバックボーンエージェントから1時間に1回テストを実施します。無料の 公開ランキングに加え、同社は有料契約サービスとして個別のテストごとの詳細を提供します。応答時間、エラー数、市(City)ごとのデータ、各ウェブページの完全なウォーターフォールを見ることができます。

 図表1のスキャッタープロット散布図の各ドット(点)は、この図に含まれる銀行42行のうち1社に対して行われたホームページテストを表します。1分に平均8テスト以上を行った(42行x 12テスト/時=504サンプル/時=8サンプル/分) このレポートによって、米国内のオンラインバンキングの健康状態の全体像がよく分かります。

Bol Fig 1-thumb-500xauto-5331.png

観測:

  1. 最初の影響が現れはじめたのは、7:10 AM EDT(米国東部標準時)です。数多くのバンキングホームページにおいてページ応答時間が急増しています。この7:10のマークは、Dyn社の報告時間である、11:10 UTC(協定世界時)と一致します。
  2. 第2の大きな影響が出現したのは、11:50 AM EDTです。これもDyn社が報告した第2の攻撃時間に一致します。
  3. 同日夜遅くまで多くの銀行において残存影響がみられ、これもDyn 社の報告と一致しています。
  4. この間、中にはホームページが完全にダウンした銀行もありました。
  5. 精査したところ、42行のうち28行(3分の2)が10月21日のこの事象によって影響を受けています。(ただし「この攻撃によって米国の銀行の3分の2が影響を受けた」と断定はしないでください。私達が見ているのはわずか42行で、米国内にはFDIC (連邦預金保険公社)に登録されている銀行が6,000以上あります。) 

 これは典型的なDDoS攻撃ではありません。一般に銀行はDDoS攻撃に対して十分に準備・防御体制を敷いています。よくおぼえていらっしゃる方も多いと思いますが、2012年から2013年にかけて、Izz ad-Din al-Qassam Cyber Fighters(QCF)というハクティビスト組織がOperation Ababil 攻撃の一環として銀行に対し行った、大規模攻撃がありました。これを期に(米国の)銀行セクターは当時DDoS 防御に大きな投資を行い、以降は十分に保護されています。

 しかしこのDynに対する攻撃は違いました。直接銀行を狙う代わりに、今回の攻撃はよくあるDDoSの標的ではないサービスプロバイダーを狙いました。しかも多くの場合、そのサービスプロバイダーは影響を受けた銀行に利用されてすらいませんでした。その結果がこれです。銀行の技術リスク担当の方にとって、業務は前よりずっと大変になっていらっしゃることと思います。

 第2部では、私達が学んだ教訓と推奨事項について分析しますが、この第1部では、続いてこの業界の他のセグメントではどうなっているか見てみます。

 

保険会社:

Dynatrace社の米国における自動車および物保険(Auto & Property Insurance)のホームページベンチマークには、25社が含まれています。 このセグメントへの影響は、銀行部門で観測された内容と酷似しています。

Bol Fig 2-thumb-500xauto-5334.png

 

証券会社:

こちらも同様のストーリーです。オンライン証券17社がこのベンチマークに含まれますが、うち12社に影響がありました。ただ銀行や保険のセグメントで観測されたような明確な不具合はありませんでした。図表3に示された赤いエラー部分はDynatrace社の測定における正常変動とみられます。これらは市場が閉まる午後4時以後に発生しています。

Figure 3 revised-thumb-500xauto-5343.png

 

クレジットカード会社:

ベンチマークに含まれているクレジットカード会社13社のうち6社に影響がありました。残存影響は少ないものの、明らかな不具合がいくつか見られます。

Bol Fig 4-thumb-500xauto-5340.png

 

2部:

第2部もどうぞお見逃しなく。より詳細部分を掘り下げ、技術リスクを分析し、この攻撃から学んだこの業界向けの教訓についてご報告します。それまで、皆様のコメントやご質問をお待ちしています。

Leave a comment