Akamai脅威レポート:金融サイバー攻撃の標的、アジア太平洋地域の銀行が世界最多に
Akamaiの最新レポートによると、2025年の金融サービスに対する世界的なレイヤー7 DDoS攻撃の52%がAPAC地域で発生し、4年連続で世界最多となりました。デジタルバンキングやAPI連携の急増に対し、セキュリティ対策が追いついておらず、特にAPIの可視性不足やAIを悪用したボットネットの脅威が深刻化しています。
📋 記事の処理履歴
- 📰 発表: 2026年6月1日 11:00
- 🔍 収集: 2026年6月1日 11:26(発表から26分後)
- 🤖 AI分析完了: 2026年6月1日 18:43(収集から7時間16分後)
Akamai(NASDAQ:AKAM)は、最新の脅威レポート「AIを活用したボットネットとAPI可視性のギャップ:金融サービス業界の攻撃トレンドに関するインターネットセキュリティの現状」を公開しました。アジア太平洋地域(APAC)の金融機関では、デジタルバンキング、リアルタイム決済、およびAPI連携によるサービスが急増する一方で、多くの組織ではセキュリティ対策が追いつかず、アタックサーフェスが拡大しているため、世界的なサイバー攻撃の割合が増加しています。レポートによると、2025年に金融サービスに対する全世界のレイヤー7 DDoS攻撃のうち、APACが52%を占めており、4年連続で最もアプリケーションレイヤー攻撃の標的にされた地域となっています。このことは、拡大するデジタル環境のセキュリティ確保が組織にとって急務であることを示しています。
※本リリースは2026年5月22日(現地時間)シンガポールで発表されたプレスリリースの抄訳版です。
DDoS攻撃は、オンラインバンキングのポータル、決済API、および顧客が利用するアプリケーションを正規のアクセスを装ったトラフィックで過負荷状態にするように設計されています。そのため、従来のネットワークフラッドDDoSよりも攻撃の識別と阻止がはるかに困難です。APACの金融業では、銀行とフィンテック企業が最も被害を受けており、レイヤー7 DDoS攻撃のそれぞれ44%と38%を占めました。一方で、レイヤー3/4 DDoSでは銀行が同地域の92%を占めました。
問題は、攻撃の量だけでなく、標的になっている環境の複雑さにもあります。その国で普及しているリアルタイム決済システムやモバイル・バンキング・プラットフォーム、フィンテックのエコシステム、様々な顧客向けサービスの展開により、銀行やフィンテック企業が保護すべきエンドポイントの数は増加しています。さらに、競争圧力やAIを活用したコーディングツールなどにより、新しいサービスが実装されるスピードは加速しています。
しかし、多くの組織は、自社が依存しているAPIを完全に把握できていません。APACの金融サービス業界のITおよびセキュリティリーダーの77%は、自社のAPI資産の全体像を把握していると考えていますが、どのAPIが機密データを返しているかまで把握しているのはわずか27%に留まっています。世界全体では、金融サービス組織の96%が過去12か月間に少なくとも1件のAPIセキュリティインシデントを報告しており、これはあらゆる業界の中で最も高い割合です。不正なアクティビティと正当なトラフィックを区別することが困難になっている現在、このような状況は深刻な盲点を拡大させています。Akamaiは、2025年後半に高度なボットアクティビティが147%急増したことを確認しました。AIを悪用したボットネットは、ブラウザーの挙動を模倣し、従来型の防御策を回避する能力が向上しています。
AkamaiのSecurity Technology and Strategy APAC 担当DirectorであるReuben Kohは「APACの銀行およびフィンテック企業は、世界で最も急速に変化するデジタル金融環境の中心に位置しています。新しい決済サービス、モバイルバンキング機能、フィンテックの統合、AIを活用したワークフローが登場するたびに、攻撃者に狙われる新たな依存関係が生まれています」「多くの銀行は、パッチ適用や安全な統合が困難なレガシーシステムの上に、新しいデジタルサービスのセキュリティも確保しようとしています。どのようなAPIが存在し、どのAPIが機密データを露出させているか、またそれらが本来どのように動作するべきかを把握していない機関は、すでに高いリスクに晒されているといえます」と述べています。
金融機関にとっての、教訓は明らかです。単にコンプライアンス要件を満たすだけではなく、セキュリティを運用上のレジリエンスにおける最優先事項へと進化させる必要があるということです。これには、アプリケーションレイヤーDDoS、ネットワークフラッド、APIの悪用に対する防御の強化、機密データの露出や異常なふるまいを特定できるAPIセキュリティツールへの投資、マシンスピードで応答可能なAI搭載の防御策の実装などが含まれます。
また、このレポートでは、マイクロセグメンテーションを導入している組織は、重要なアプリケーションを隔離して内部に侵入した攻撃者の水平展開を制限することで、インシデントへの対応にかかる時間が33%向上したことも明らかにしています。これは、中断が1分長引くたびに評判、規制、財務上の損失につながる可能性がある環境では大きなアドバンテージとなります。
今年で12年目を迎えるAkamaiの「インターネットの現状 - セキュリティレポート」では、世界のWebトラフィックの大部分を処理するAkamaiのサイバーセキュリティ保護インフラで観測された攻撃データを取り上げています。
本レポートの監修を務めた Akamai の Advisory CISO である Steve Winterfeldは「サイバー犯罪者やハクティビストは、単に迷惑を及ぼすだけの攻撃からハクティビズムとサイバー犯罪の両方を含む持続型の包囲攻撃へと DDoS を拡大し続けており、金融サービス業界はその標的にされています。さらに、観測データからは、AI が従来のセキュリティリスクを軽減するどころか、リスクを急激に増幅させているため、API が狙われるケースがますます増えていることが明らかになりました。金融サービス業界向けに詳述するセキュリティ戦略とベストプラクティスを活用して、自社のセキュリティ対策の一助としていただければと思います」と述べています。
レポートの全文はこちらでお読みください。
Akamai について
Akamai は、オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業です。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散化されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバル企業が、ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識を提供できる Akamai に信頼を寄せています。詳細については、akamai.com および akamai.com/blog をご覧いただくか、X や LinkedIn で Akamai Technologies をフォローしてください。
※本リリースは2026年5月22日(現地時間)シンガポールで発表されたプレスリリースの抄訳版です。
DDoS攻撃は、オンラインバンキングのポータル、決済API、および顧客が利用するアプリケーションを正規のアクセスを装ったトラフィックで過負荷状態にするように設計されています。そのため、従来のネットワークフラッドDDoSよりも攻撃の識別と阻止がはるかに困難です。APACの金融業では、銀行とフィンテック企業が最も被害を受けており、レイヤー7 DDoS攻撃のそれぞれ44%と38%を占めました。一方で、レイヤー3/4 DDoSでは銀行が同地域の92%を占めました。
問題は、攻撃の量だけでなく、標的になっている環境の複雑さにもあります。その国で普及しているリアルタイム決済システムやモバイル・バンキング・プラットフォーム、フィンテックのエコシステム、様々な顧客向けサービスの展開により、銀行やフィンテック企業が保護すべきエンドポイントの数は増加しています。さらに、競争圧力やAIを活用したコーディングツールなどにより、新しいサービスが実装されるスピードは加速しています。
しかし、多くの組織は、自社が依存しているAPIを完全に把握できていません。APACの金融サービス業界のITおよびセキュリティリーダーの77%は、自社のAPI資産の全体像を把握していると考えていますが、どのAPIが機密データを返しているかまで把握しているのはわずか27%に留まっています。世界全体では、金融サービス組織の96%が過去12か月間に少なくとも1件のAPIセキュリティインシデントを報告しており、これはあらゆる業界の中で最も高い割合です。不正なアクティビティと正当なトラフィックを区別することが困難になっている現在、このような状況は深刻な盲点を拡大させています。Akamaiは、2025年後半に高度なボットアクティビティが147%急増したことを確認しました。AIを悪用したボットネットは、ブラウザーの挙動を模倣し、従来型の防御策を回避する能力が向上しています。
AkamaiのSecurity Technology and Strategy APAC 担当DirectorであるReuben Kohは「APACの銀行およびフィンテック企業は、世界で最も急速に変化するデジタル金融環境の中心に位置しています。新しい決済サービス、モバイルバンキング機能、フィンテックの統合、AIを活用したワークフローが登場するたびに、攻撃者に狙われる新たな依存関係が生まれています」「多くの銀行は、パッチ適用や安全な統合が困難なレガシーシステムの上に、新しいデジタルサービスのセキュリティも確保しようとしています。どのようなAPIが存在し、どのAPIが機密データを露出させているか、またそれらが本来どのように動作するべきかを把握していない機関は、すでに高いリスクに晒されているといえます」と述べています。
金融機関にとっての、教訓は明らかです。単にコンプライアンス要件を満たすだけではなく、セキュリティを運用上のレジリエンスにおける最優先事項へと進化させる必要があるということです。これには、アプリケーションレイヤーDDoS、ネットワークフラッド、APIの悪用に対する防御の強化、機密データの露出や異常なふるまいを特定できるAPIセキュリティツールへの投資、マシンスピードで応答可能なAI搭載の防御策の実装などが含まれます。
また、このレポートでは、マイクロセグメンテーションを導入している組織は、重要なアプリケーションを隔離して内部に侵入した攻撃者の水平展開を制限することで、インシデントへの対応にかかる時間が33%向上したことも明らかにしています。これは、中断が1分長引くたびに評判、規制、財務上の損失につながる可能性がある環境では大きなアドバンテージとなります。
今年で12年目を迎えるAkamaiの「インターネットの現状 - セキュリティレポート」では、世界のWebトラフィックの大部分を処理するAkamaiのサイバーセキュリティ保護インフラで観測された攻撃データを取り上げています。
本レポートの監修を務めた Akamai の Advisory CISO である Steve Winterfeldは「サイバー犯罪者やハクティビストは、単に迷惑を及ぼすだけの攻撃からハクティビズムとサイバー犯罪の両方を含む持続型の包囲攻撃へと DDoS を拡大し続けており、金融サービス業界はその標的にされています。さらに、観測データからは、AI が従来のセキュリティリスクを軽減するどころか、リスクを急激に増幅させているため、API が狙われるケースがますます増えていることが明らかになりました。金融サービス業界向けに詳述するセキュリティ戦略とベストプラクティスを活用して、自社のセキュリティ対策の一助としていただければと思います」と述べています。
レポートの全文はこちらでお読みください。
Akamai について
Akamai は、オンラインビジネスの力となり、守るサイバーセキュリティおよびクラウドコンピューティング企業です。当社の市場をリードするセキュリティソリューション、優れた脅威インテリジェンス、グローバル運用チームによって、あらゆる場所でエンタープライズデータとアプリケーションを保護する多層防御を利用いただけます。Akamai のフルスタック・クラウド・コンピューティング・ソリューションは、世界で最も分散化されたプラットフォームで高いパフォーマンスとコストを実現しています。多くのグローバル企業が、ビジネスの成長に必要な業界最高レベルの信頼性、拡張性、専門知識を提供できる Akamai に信頼を寄せています。詳細については、akamai.com および akamai.com/blog をご覧いただくか、X や LinkedIn で Akamai Technologies をフォローしてください。
よくある質問
APACの金融機関がサイバー攻撃の標的になりやすい理由は何ですか?
デジタルバンキング、リアルタイム決済、API連携が急速に普及している一方で、セキュリティ対策が追いつかず、攻撃対象領域(アタックサーフェス)が拡大しているためです。
レイヤー7 DDoS攻撃とはどのようなものですか?
オンラインバンキングや決済APIなどのアプリケーション層を、正規のアクセスを装ったトラフィックで過負荷状態にする攻撃で、従来のネットワーク攻撃よりも識別と阻止が困難です。
APIセキュリティにおける主な課題は何ですか?
多くの組織が自社のAPI資産を完全に把握しておらず、特に機密データを返しているAPIを特定できている企業が27%に留まるなど、可視性の欠如が深刻な盲点となっています。
AIはサイバー攻撃にどのような影響を与えていますか?
AIを活用したボットネットはブラウザーの挙動を模倣する能力が高く、従来型の防御策を回避して攻撃を急増させる要因となっています。
金融機関が推奨される対策は何ですか?
APIセキュリティツールへの投資、AI搭載の防御策の実装、およびマイクロセグメンテーションによる重要アプリケーションの隔離などが推奨されています。