画像: アンスプラッシュ
Positive Technologiesの専門家は、株式、債券、先物、通貨、その他の資産を売買できる取引端末のセキュリティの分析を実施しました。 調査によると、アプリケーションの61%で個人アカウントへの不正アクセスを取得することが可能であり、33%-あなたの個人アカウントにアクセスせずに他のユーザーに代わって金融取引を行う、17%-表示された引用の置換。 このような攻撃は、攻撃者に有利なように市場の価格を変化させ、取引所でパニックを引き起こし、脆弱なアプリケーションのユーザーに大きな金銭的損害を与える可能性があります。
最も一般的な取引アプリケーションの脆弱性
専門家は、民間トレーダーの間で人気があるだけでなく、銀行、投資ファンド、および為替取引に関連する他の組織でも広く使用されている取引プラットフォームを研究しました。 プラットフォームのクライアント部分について調査が行われました。 デスクトップトレーディングターミナル、モバイル(AndroidおよびiOS用)、およびトレーディング用のWebアプリケーションを分析しました。
アプリケーションの61%で、攻撃者はトレーディングターミナルでユーザーの個人アカウントを制御できます。 これにより、ユーザー資産の取引、貸借対照表上の利用可能な資金に関する情報の取得、自動取引のパラメーターの変更、操作および計画された操作の履歴の表示が可能になります。 トラフィックの暗号化がない場合、デスクトップ端末での資格情報の傍受は可能です。モバイルアプリケーションでは、これはデバイスのルート権またはジェイルブレイクによって促進されます。 一部のWebバージョンのアプリケーションでは、ユーザーのセッションを傍受して、個人アカウントにアクセスできます。
これはすべてトレーダーを脅かすものです
3つごとのアプリケーションでPositive Technologiesの専門家によって発見された脆弱性により、権限のない人がユーザーに代わって、個人アカウントにアクセスすることなく、株式の売買取引を行うことができます。 攻撃者は、他の人のアカウントで大量に購入することで関心のある有価証券の価値を高めるか、積極的に売却することで株式の価値を下げることができます。 同様に、攻撃が大規模なプレーヤーまたは多数のユーザーに影響する場合は、為替レートを操作できます。 他の誰かに代わって交換資産を売買することは、デスクトップでも、モバイル端末でも、ウェブ端末でも可能です。
取引端末のWebバージョンへの攻撃は広範囲に及ぶ可能性があります。 攻撃者は、スクリプトをWebアプリケーションに挿入したり、別の人気サイトに悪意のあるリンクを配置したりできます。 次に、アプリケーションに入るか、リンクをたどるユーザーに代わって、不正な操作が実行されます。 これにより、多数の市場参加者に対する攻撃が可能になります。
また、脆弱なアプリケーションを使用するトレーダーは、金融市場の実際の状況が、取引端末の画面に表示されるものと一致しないことを発見するリスクがあります。 表示された引用の置換は、アプリケーションの17%で可能です。 たとえば、デスクトップアプリケーションを分析する過程で、専門家は、特定の期間の相場の変化を表示する「和ろうそく」タイプの間隔グラフを偽造することができました。
一部のデスクトップアプリケーションでは、たとえば更新ファイルをマルウェアに置き換えるなどして、トレーダーのコンピューターを制御できます。 原則として、コンピューターまたはモバイルデバイスの取引端末を攻撃するには、攻撃者はトラフィックを傍受する能力やデバイスへの物理的アクセスなどの特別な条件を必要とします。 ただし、主要なプレーヤーに対する標的攻撃の場合、犯罪者の動機はそのような条件を提供するのに十分な場合があります。 そのような事件の例:2015年2月、5億ドルの売却提案が数分以内に市場に持ち込まれ(サイバー攻撃または銀行経営者によるミスの結果)、アメリカ通貨が大幅に下落し、他の市場参加者がより低い価格でドルを購入して支払われました銀行の大きな損失。
自分を守る方法
取引アプリケーションへの不正アクセスは、脆弱なアプリケーションの市場とユーザーに深刻な衝撃を与えます。 取引プラットフォームを選択する際、トレーダーはその機能だけでなく安全にも注意を払う必要があります。 最新バージョンのアプリケーションを使用し、ベンダーが時間内にリリースしたアップデートをインストールする必要があります。
個人のデバイスで取引プラットフォームを使用するプライベートトレーダーの場合、専門家はウイルス対策ツールを使用し、信頼できないソースからアプリケーションをダウンロードしないことを推奨します。 ルート権限またはジェイルブレイクのあるデバイスには、モバイルバージョンのアプリケーションをインストールしないでください。 端末で作業する場合、パブリックWi-Fiアクセスポイントなどの安全でないネットワークに接続することはお勧めしません。 個人アカウントへの不正アクセスを防ぐには、この機能がアプリケーションでサポートされている場合、2要素認証を使用する必要があります。
企業システムでは、取引端末が配置されているネットワークの別のセグメントを区別し、このセグメントを保護する必要があります。 企業情報システムの許容レベルのセキュリティを確保するために、特に従業員を情報セキュリティルールでトレーニングするために、基本的な推奨事項に従う必要があります。
次に、取引端末の開発者は、アプリケーションのセキュリティを定期的にテストし、安全な開発サイクルを実装する必要があります。 取引プラットフォームのWebバージョンを保護するために、専門家は、アプリケーションレベルのファイアウォールなどの予防的保護手段の使用を推奨しています。
10月16日火曜日の14:00に、無料のウェビナーで、Positive Technologies銀行システムのセキュリティ研究グループの責任者であるYaroslav Babinが、この研究についてさらに詳しく話し、取引用の安全なアプリケーションを選択するためのヒントを提供します。
ウェビナーに参加するには、 登録する必要があります 。