Written by 阿部 欽一
キットフックの屋号で活動するフリーライター。社内報編集、Webコンテンツ制作会社等を経て2008年より現職。情報セキュリティをテーマにした企業のオウンドメディア編集、制作等を担当するほか、エンタープライズITから中小企業のIT導入、デジタルマーケティングまで幅広い分野で記事執筆を手がけている。
デジタル化の進展によって、金融業界においても、FinTechをはじめとするテクノロジーを背景にした新たなサービスの出現や、非金融の事業者の市場参入などによって、伝統的な金融ビジネスモデルを変革しようとする動きが活発です。一方で、あらゆるシステムがネットワークに接続されることで、ビジネスのグローバル化もあいまって、これまで以上にサイバー攻撃の脅威に対する対策は重要性を増しています。
また、2020年東京オリンピックでは、政府や大会に関係する組織に限らず、重要なサービスを提供する事業主もサイバー攻撃のリスクが高まると言われています。
そこで、2020年を前に、複雑化・巧妙化するサイバーリスクに対し、特に金融分野においてリスク低減に何が必要かを考えます。
デジタル化に伴い複雑化・巧妙化するサイバー攻撃
社会全体にデジタル化が進展し、デジタルテクノロジーやデータを活用した様々なサービスが提供され、利便性が高まる一方、サイバー攻撃の脅威がより大きな問題となってきています。特に、国境を越え、金融システムを標的に仕掛けられるサイバー攻撃に備えることは、大きな課題となっています。
幸い、国内では今のところ、金融システムが停止するほどの大規模なサイバー攻撃の事案は発生していません。しかし、金融庁が公開した「金融分野のサイバーセキュリティレポート」(2019年6月)によると、海外では次のような金銭の窃取を目的としたサイバー攻撃が発生しており、日本も「対岸の火事」で済ますことのできない状況にあることがわかります。
・2018年4月、メキシコの中央銀行が提供する銀行間電子決済システムを利用する複数の銀行がサイバー攻撃を受け、少なくとも4億ペソ(約2,000万米ドル)が不正送金により窃取された。
・2018年8月、インド国内の銀行が、ATMやSWIFT(銀行間の国際金融取引をネットワーク化するシステム)に対するサイバー攻撃を受け、1,350万米ドルの被害に遭った。このサイバー攻撃では、世界28カ国のATMで不正な引き出しが行われたという。
・2018年8月、インド国内の銀行が、ATMやSWIFT(銀行間の国際金融取引をネットワーク化するシステム)に対するサイバー攻撃を受け、1,350万米ドルの被害に遭った。このサイバー攻撃では、世界28カ国のATMで不正な引き出しが行われたという。
また、国内におけるサイバー犯罪の状況を見ると、警察庁が発表した「平成30年におけるサイバー空間をめぐる脅威の情勢等について」(2019年4月)によれば、平成30年に起きた国内のネットバンキングの不正送金事案の件数は322件、被害額は4億6,100万円にのぼっています。
手口の高度化、巧妙化の背景には何があるか
手口の高度化、巧妙化という意味では、攻撃のアンダーグラウンド化、ビジネス化も指摘されるところです。攻撃を仕掛けるためのツールや、不正に入手したパスワードリストなどがアンダーグラウンド市場で取り引きされ、攻撃に対する専門知識に詳しくない者でも、これらを利用することで、容易に攻撃を行えるようになりました。
以前のサイバー攻撃は、愉快犯的なものや、政治的信条の主張といった手口が見られることがありました。しかし、最近では、ランサムウェアやビジネスメール詐欺の横行が示すように、金銭目的のサイバー犯罪が増えています。さらに、報酬を受け取り、ビジネスとしてサイバー攻撃やサイバー犯罪を行う集団もあり、サービスとしてのサイバー攻撃は、手口の高度化、巧妙化の一因とされています。
「攻撃のビジネス化」は、独立行政法人 情報処理推進機構(IPA)が2017年に公開した「情報セキュリティ10大脅威 2017」でも、組織(法人)向けの脅威の第9位にランクインしています。
マルウェアの高度化という側面もあります。たとえば、ネットバンキングを標的にした「Emotet(エモテット)」というマルウェアは、2014年に初めて確認された後、数年間にわたって金銭的な被害をもたらし続けています。
これは、被害者にメールに添付されたファイルやリンクを開かせることで感染、感染後は、外部の制御用サーバー(C&Cサーバー)と通信して機能を追加することで、新たな攻撃手法を用いて攻撃することが可能です。こうした機能によって、犯罪組織は欧州の金融機関を中心に、盗み取った口座情報によって大きな収益を得てきました。
トレンドマイクロが2019年に確認した最新の検体では、感染後のC&Cサーバーとの通信トラフィックを細工し、セキュリティ対策製品に対して正規のトラフィックに見せかけ、検知を回避する技術を備えていることが確認されました。
このように、国境をまたいで仕掛けられ、ビジネス化によって高度化、巧妙化したサイバー攻撃に対する実効性のある対策が求められているといえるでしょう。
2020年に向けた対策は「自行の現状の可視化」から
金融分野におけるサイバー攻撃対策について、金融庁は2015年7月、「金融分野におけるサイバーセキュリティ強化に向けた取組方針」(取組方針)を策定・公表し、さらに2018年10月には、2020年の東京オリンピックなどを踏まえ内容をアップデート、金融分野のサイバーセキュリティ強化に取り組んできました。
アップデートされた取組方針では、金融分野の環境変化を踏まえた課題として、「デジタライゼーションの加速的な進展を踏まえた対応」「国際的な議論への貢献・対応」「2020 年東京オリンピック・パラリンピック競技大会等への対応」を取り上げるとともに、重要テーマとして「金融機関のサイバーセキュリティ管理態勢の強化」「情報共有の枠組みの実効性向上」「金融分野の人材育成の強化」を挙げています。
特に、「金融機関のサイバーセキュリティ管理態勢の強化」については、平時の対策、有事の対応の両面で金融機関等との間で対話や演習に取り組み、次のような指摘、提言を行っています。
◯地域銀行については実態把握が一巡しており、前回実態把握時に取組みが遅れていた先を中心に実態把握を実施したが、当時の議論を踏まえて全般的に課題を解消し、経営陣も積極的に関与して取組計画を策定して進めており、自主的に強化を図っている状況がみられた。
(中略)
一方、新たな目線として、脆弱性診断・ペネトレーションテストの実施状況を把握したところ、金融機関自らが、セキュリティ診断業者に委託するなどして意識的に診断を実施しているのは一部に留まっており、実施基準も定められていないなど、その必要性が十分浸透していない状況であった。自社に潜む脆弱性を的確に把握し、2020 年東京大会に向けて脆弱性対応まで完了しておくことが必要である。
(中略)
一方、新たな目線として、脆弱性診断・ペネトレーションテストの実施状況を把握したところ、金融機関自らが、セキュリティ診断業者に委託するなどして意識的に診断を実施しているのは一部に留まっており、実施基準も定められていないなど、その必要性が十分浸透していない状況であった。自社に潜む脆弱性を的確に把握し、2020 年東京大会に向けて脆弱性対応まで完了しておくことが必要である。
◯信金・信組については、2015 年の「取組方針」の公表から既に3年が経過したにもかかわらず、業態内上位であってもリスク評価やインシデント対応といった基礎的態勢は依然として整備途上の段階に留まっていた。こうした業態全体の停滞傾向は、サイバーリスクに対する経営陣の危機感が希薄であることに加え、専門の担当者もいない中で地域銀行のような共助態勢もなく試行錯誤していることが大きな要因となっている。また、脆弱性診断・ペネトレーションテストについては委託先任せで実施有無や実施範囲も把握しておらず、地域銀行以上にその必要性が十分浸透していない状況であった。地域銀行同様に、自社に潜む脆弱性を的確に把握し、2020 年東京大会に向けて脆弱性対応まで完了しておくことが必要である。
これらの指摘から、地域銀行、信金・信組では、自行に潜む脆弱性を的確に把握し、2020 年東京大会に向けて脆弱性対応を完了しておくことが必要であると提言しています。
自社(自行)のセキュリティ状態の可視化のためには「エンドポイント侵害診断サービス」といった侵害調査を利用することも効果的です。こういったサービスでは、個々のエンドポイントに対して、サイバー攻撃を受けた形跡や脆弱性の有無について洗い出しを行います。
複雑化・巧妙化するサイバー攻撃に対して、自社が既に攻撃を受けていないか?といったことを調査・分析することで、適切なセキュリティ対策が行えているか現状を把握することが可能です。
エンドポイント侵害診断サービス
関連する記事
