アカマイ・テクノロジーズ合同会社
2025年の金融サービスを狙ったアプリケーションレイヤーDDoS攻撃はAPACが世界全体の52%を占める
Akamai(NASDAQ:AKAM)は、最新の脅威レポート「AIを活用したボットネットとAPI可視性のギャップ:金融サービス業界の攻撃トレンドに関するインターネットセキュリティの現状」を公開しました。アジア太平洋地域(APAC)の金融機関では、デジタルバンキング、リアルタイム決済、およびAPI連携によるサービスが急増する一方で、多くの組織ではセキュリティ対策が追いつかず、アタックサーフェスが拡大しているため、世界的なサイバー攻撃の割合が増加しています。レポートによると、2025年に金融サービスに対する全世界のレイヤー7DDoS攻撃のうち、APACが52%を占めており、4年連続で最もアプリケーションレイヤー攻撃の標的にされた地域となっています。このことは、拡大するデジタル環境のセキュリティ確保が組織にとって急務であることを示しています。
※本リリースは2026年5月22日(現地時間)シンガポールで発表されたプレスリリースの抄訳版です。
DDoS攻撃は、オンラインバンキングのポータル、決済API、および顧客が利用するアプリケーションを正規のアクセスを装ったトラフィックで過負荷状態にするように設計されています。そのため、従来のネットワークフラッドDDoSよりも攻撃の識別と阻止がはるかに困難です。APACの金融業では、銀行とフィンテック企業が最も被害を受けており、レイヤー7 DDoS攻撃のそれぞれ44%と38%を占めました。一方で、レイヤー3/4 DDoSでは銀行が同地域の92%を占めました。
問題は、攻撃の量だけでなく、標的になっている環境の複雑さにもあります。その国で普及しているリアルタイム決済システムやモバイル・バンキング・プラットフォーム、フィンテックのエコシステム、様々な顧客向けサービスの展開により、銀行やフィンテック企業が保護すべきエンドポイントの数は増加しています。さらに、競争圧力やAIを活用したコーディングツールなどにより、新しいサービスが実装されるスピードは加速しています。
しかし、多くの組織は、自社が依存しているAPIを完全に把握できていません。APACの金融サービス業界のITおよびセキュリティリーダーの77%は、自社のAPI資産の全体像を把握していると考えていますが、どのAPIが機密データを返しているかまで把握しているのはわずか27%に留まっています。世界全体では、金融サービス組織の96%が過去12か月間に少なくとも1件のAPIセキュリティインシデントを報告しており、これはあらゆる業界の中で最も高い割合です。不正なアクティビティと正当なトラフィックを区別することが困難になっている現在、このような状況は深刻な盲点を拡大させています。Akamaiは、2025年後半に高度なボットアクティビティが147%急増したことを確認しました。AIを悪用したボットネットは、ブラウザーの挙動を模倣し、従来型の防御策を回避する能力が向上しています。
AkamaiのSecurity Technology and Strategy APAC 担当DirectorであるReuben Kohは「APACの銀行およびフィンテック企業は、世界で最も急速に変化するデジタル金融環境の中心に位置しています。新しい決済サービス、モバイルバンキング機能、フィンテックの統合、AIを活用したワークフローが登場するたびに、攻撃者に狙われる新たな依存関係が生まれています」「多くの銀行は、パッチ適用や安全な統合が困難なレガシーシステムの上に、新しいデジタルサービスのセキュリティも確保しようとしています。どのようなAPIが存在し、どのAPIが機密データを露出させているか、またそれらが本来どのように動作するべきかを把握していない機関は、すでに高いリスクに晒されているといえます」と述べています。
金融機関にとっての、教訓は明らかです。単にコンプライアンス要件を満たすだけではなく、セキュリティを運用上のレジリエンスにおける最優先事項へと進化させる必要があるということです。これには、アプリケーションレイヤーDDoS、ネットワークフラッド、APIの悪用に対する防御の強化、機密データの露出や異常なふるまいを特定できるAPIセキュリティツールへの投資、マシンスピードで応答可能なAI搭載の防御策の実装などが含まれます。
また、このレポートでは、マイクロセグメンテーションを導入している組織は、重要なアプリケーションを隔離して内部に侵入した攻撃者の水平展開を制限することで、インシデントへの対応にかかる時間が33%向上したことも明らかにしています。これは、中断が1分長引くたびに評判、規制、財務上の損失につながる可能性がある環境では大きなアドバンテージとなります。
今年で12年目を迎えるAkamaiの「インターネットの現状 - セキュリティレポート」では、世界のWebトラフィックの大部分を処理するAkamaiのサイバーセキュリティ保護インフラで観測された攻撃データを取り上げています。
本レポートの監修を務めた Akamai の Advisory CISO である Steve Winterfeldは「サイバー犯罪者やハクティビストは、単に迷惑を及ぼすだけの攻撃からハクティビズムとサイバー犯罪の両方を含む持続型の包囲攻撃へと DDoS を拡大し続けており、金融サービス業界はその標的にされています。さらに、観測データからは、AI が従来のセキュリティリスクを軽減するどころか、リスクを急激に増幅させているため、API が狙われるケースがますます増えていることが明らかになりました。金融サービス業界向けに詳述するセキュリティ戦略とベストプラクティスを活用して、自社のセキュリティ対策の一助としていただければと思います」と述べています。
レポートの全文はこちらでお読みください。
Akamai について
Akamai は、オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業です。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散化されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバル企業が、ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識を提供できる Akamai に信頼を寄せています。詳細については、akamai.com および akamai.com/blog をご覧いただくか、X や LinkedIn で Akamai Technologies をフォローしてください。
※AkamaiとAkamaiロゴは、Akamai Technologies Inc.の商標または登録商標です
※その他、記載されている会社名ならびに組織名、ロゴ、サービス名は、各社の商標または登録商標です
※本プレスリリースの内容は、個別の事例に基づくものであり、個々の状況により変動しうるものです
本記事はアフィリエイトプログラムによる収益を得ている場合があります
