金融サービスはサイバー攻撃に狙われやすい?理由から対策までわかりやすく解説!

2022.12.01

LIBRUS株式会社 > コラム > 金融サービスはサイバー攻撃に狙われやすい?理由から対策までわかりやすく解説!

DX化やリモートワークが普及したことで、新しい働き方が広がりつつあります。便利なことが増えた反面、従来とは異なるセキュリティ対策も求められるようになりました。

そして、近年ではサイバー攻撃の数も増えています。特に金融機関は、重要な情報が多く集まり、銀行口座の不正利用などで大きな被害が想定されるため、一般企業よりも強固なセキュリティ対策が求められています。

今回の記事では、金融機関を狙ったサイバー攻撃の手口や事例、セキュリティ担当者がまず実施するべき対策方法を紹介します。

サイバー攻撃とは

サイバー攻撃とは、パソコンやスマートフォン、サーバーといった情報端末に対して、ネットワークを通じてシステムの破壊や情報の改ざん、窃取をする行為を指します。攻撃の対象は個人や組織、さらには特定多数の場合もあり、目的や手段はさまざまです。

サイバー攻撃の目的

サイバー攻撃は、金銭や情報、組織のイメージダウンやいたずらなど、様々な目的をもって行われます。企業から情報を窃取して不当に販売することで金銭を得たり、盗み出したデータを盾に金銭を恐喝したりすることが典型例です。

また、サイバー攻撃を受けた企業は信頼性が低下することから、イメージダウンを狙った攻撃も報告されています。個人的な復讐やいたずらなどを目的としている場合もあり、目的によって攻撃手法や攻撃の規模も異なります。

サイバー攻撃の種類

サイバー攻撃の種類は数多くあり、日々新しいものが報告されています。主なサイバー攻撃として、次のようなものがあります。

  • メールを使った情報窃取(標的型メール攻撃、フィッシングメールなど)
  • 不正アクセス(脆弱性を突いた攻撃)
  • マルウェア(ランサムウェアなど)
  • 過負荷によりサービス停止に追い込む攻撃(Dos攻撃、DDos攻撃など)。

また金融業界では、サイバー攻撃は大きく2種類に分けられます。

  • 利用者を狙った攻撃
  • 金融機関を狙った攻撃

金融機関の利用者を狙った攻撃としては、メールで口座情報を窃取する、デバイスをマルウェアに感染させることで不正送金を行う、といった事例があります。金融機関そのものを狙った攻撃では、職員のデバイスをマルウェアに感染させることで銀行側から不正送金を行うことが典型例です。いずれの事例でも、マルウェアを用いたサイバー攻撃が多数報告されているのが、金融機関に対するサイバー攻撃の特徴の1つです。

サイバー攻撃の代表的な手口3つ

ここでは、サイバー攻撃の代表的な手口として、次の3つをご紹介します。

  • ランサムウェア
  • 標的型メール攻撃
  • サプライチェーン攻撃

ランサムウェア

ランサムウェアとは、データを暗号化・破壊し、「元に戻して欲しければ身代金を支払え」と金銭を要求するマルウェアです。近年多くの被害事例が報告されており、日本国内の企業も被害に遭っています。

ランサムウェアへの感染は、メールの添付ファイルに仕込まれている場合や、ネットワーク機器などの脆弱性を突いた侵入によって発生します。ネットワークを通じて大規模な被害につながりやすく、企業や機関での対策が求められています。

実際に、2017年に日立製作所が「Wannacry」というランサムウェアの被害を受けたときは、セキュリティチェックが見落とされていた検査機器からの感染が原因でした。

(参考:日立は「WannaCry」被害から何を学んだのか、IoTセキュリティサービスに昇華l

標的型メール攻撃

標的型メール攻撃とは、メールを使ったサイバー攻撃の一種です。攻撃者が取引先や顧客、同僚を装ってメールを送信し、添付ファイルやURLの遷移先でマルウェアをダウンロードさせることで感染させます。攻撃者が標的を絞ってメールを偽造するため「標的型」と呼ばれます。

サプライチェーン攻撃

サプライチェーン攻撃は、近年多く報道されている攻撃手法の1つです。「サプライチェーン」とは、ある製品の原料確保から製造、販売までの一連の流れを指します。

1つの製品の販売には多くの企業が関わっているため、そのうちの一社への攻撃が成功すれば、他の企業も巻き込まれて被害に遭います。サプライチェーン攻撃は、セキュリティ対策が厳重な大企業ではなく、手薄な取引先企業を狙うことで、間接的に大企業に被害を与える攻撃手法です。最近では、三菱電機株式会社がサプライチェーン攻撃の被害に遭いました。

参考:不正アクセスによる情報流出について

金融サービスは狙われやすい!実際の被害事例を紹介

金融サービスは、一般的な企業よりもサイバー攻撃の標的に遭いやすい傾向にあります。Trellixの調査によると、ランサムウェアのセクター別被害件数だと銀行/金融が22%と最も多く、次に公益事業が20%、小売業が16%となっています。ここでは、実際の被害事例を3つご紹介します。

Carbanakによる10億ドル略奪

サイバー犯罪集団「Carbanak」は、2013年からの2年間で、100もの金融機関にサイバー攻撃を仕掛け、10億ドルを強奪したと報道されました。「Carbanak」の攻撃手法は「標的型メール攻撃」で、事前にダークウェブで入手しておいた金融機関職員のアクセス権限を利用したとされています。

攻撃者は標的型メール攻撃によってマルウェアに感染させたPCを使い、送金手法などを傍受し、不正な送金や残高の水増しなどを複数回行ったとのことです。

参考:近年のサイバー攻撃事例から考え方の転換を迫られる金融分野のサイバーセキュリティ

みずほ銀行「J-Coin Pay」から1万539件の個人情報流出

2019年9月、みずほ銀行は決済サービス管理に関わるテスト用システムへの不正アクセス被害を発表しました。攻撃者による加盟店データの削除と、ビットコインを要求する文書への書き換えによって発覚しました。手順ミスにより、決済サービス加盟店の代表者や担当者の個人情報に外部からアクセス可能な状態になっていたとのことです。

参考:みずほ銀のスマホ決済で加盟店情報が漏洩か、テスト用システムに不正アクセス

イオン銀行に不正アクセスで2000人以上の顧客データ流出

2021年2月、イオン銀行ホームページで利用されているシステムに対する不正アクセス被害が報道されました。「来店予約・オンライン相談サービス」の予約管理システムで利用されていたクラウド型システムの設定不備が原因とされています。登録されていた2000人以上の顧客の個人情報が閲覧されたことが判明しています。

(参考:「来店予約・オンライン相談サービス」システムへの第三者による不正アクセスについて

金融機関が狙われやすい理由

それでは、なぜ金融機関はサイバー攻撃の被害に遭いやすいのでしょうか。金融機関が狙われやすい理由は、主に次の3つです。

  • 金融機関への攻撃は利益が大きい
  • リモートワークのセキュリティ脆弱性
  • 個人情報が多く集まる

金融機関への攻撃は利益が大きい

金融機関は、攻撃が成功した場合に利益が大きく見込めます。多くの金融資産を保有しているため、高額の金銭を不正に得られることが、金融機関が狙われる大きな理由です。

また、金融機関は顧客からの信頼を大切にしなければならないため、ランサムウェアによる身代金要求に従わざるを得ないという点も、金融機関への攻撃による金額が大きくなりやすい要因です。

リモートワークのセキュリティ脆弱性

リモートワークが普及したことで、セキュリティ対策の重要性も一層高まっています。金融機関に限らず、多くの企業や機関がリモートワークを導入していますが、リモートワークによって生まれた脆弱性を突くサイバー攻撃も多数報告されています。リモートデスクトップ接続やVPN接続がその典型例です。

日本の金融機関では、リモートワークを原因とした大規模のサイバー攻撃被害はまだ報告されていませんが、海外ではリモートワークによって生じた脆弱性を突いた被害の可能性が指摘されています。

(参考:金融機関を取り巻く最近のサイバー 脅威動向と求められる対策|日本銀行

個人情報が多く集まる

金融機関には、個人情報が多く集まります。個人情報は、攻撃者が手に入れたいものの1つです。そのため金融機関は、個人情報を狙う攻撃者の標的になりやすいとされています。不正に取得した個人情報を、ダークウェブなどで高値で売買することで利益を得ているサイバー犯罪集団もいるようです。

サイバー攻撃の具体的な対策方法

サイバー攻撃への対策方法をご紹介します。金融機関は狙われやすく、大きな被害につながりやすいため、国からも厳重な対策が求められています。金融機関がまずとるべき対策方法は次の4つです。

  • 金融庁発表の最新情報を得る
  • 最新バージョンのウイルス対策ソフトをインストールする
  • 不審なメールやURLやファイルは開かない
  • ファイアーウォールを導入する

金融庁発表の最新情報を得る

まずは、国によって発表されている最新情報を確認しましょう。金融庁は近年、サイバー攻撃への対策を推進しており、金融機関向けのサイバー攻撃対策や情報を日々発信しています。また最近では、金融機関を対象にしたサイバーセキュリティ演習も大規模に実施されています。情報を広く入手して、さらなるセキュリティ対策に活用しましょう。

参考:

金融分野におけるサイバーセキュリティ対策について

金融庁がサイバー攻撃演習 銀行・証券など160機関参加

最新バージョンのウイルス対策ソフトをインストールする

2つ目の対策は、ウイルス対策ソフトのインストールです。金融機関を狙ったサイバー攻撃で多いのは、マルウェアによる攻撃です。

金融機関で用いられる情報端末には、ウイルス対策ソフトを必ずインストールしておきましょう。その際、必ず最新バージョンのソフトをインストールしてください。攻撃者の手法は日々進歩するため、対策も最新でなければなりません。最新のウイルス対策ソフトをインストールし、日々のアップデートやセキュリティチェックを怠らないように注意しましょう。

不審なメールやURL、ファイルは開かない

3つ目の対策は、不審なメールやURL、ファイルを開かない、というものです。マルウェアへの感染経路としてよくあるのが、不審なメールに添付されているファイルを開いてしまうケースや、URLにアクセスした先でダウンロードしてしまうケースです。従業員へのセキュリティ教育を徹底し、不審なメールの開封やURLへのアクセス、ファイルのダウンロードは避けるようにしましょう。

ファイアーウォールを導入する

4つ目の対策は、ファイアーウォールの導入です。ファイアーウォールは、特定のネットワークを保護するための仕組みです。外部からの通信をチェックし、不正なものを遮断することで不正アクセスを防ぐことができます。金融機関へのサイバー攻撃はマルウェアによる場合が多いものの、不正アクセスが試みられる場合もあります。ファイアーウォールを

導入し、ネットワークと情報を保護するようにしましょう。

また、最近ではWebアプリを保護するファイアーウォールとして「WAF(Web Application Firewall)」と呼ばれる仕組みも登場しています。Webアプリを利用している金融機関も増えてきているため、ファイアーウォールと併せてWAFの導入も検討しておきましょう。

まとめ

この記事では、金融機関へのサイバー攻撃の手口と事例、対策方法について解説しました。金融機関を狙ったサイバー攻撃は、ランサムウェアや標的型メール攻撃といった手法がよく使われます。

金融機関は保有している金融資産や個人情報の多さから、サイバー攻撃の標的になりやすい機関です。そのため、金融機関にはより強固なセキュリティ対策が求められます。金融庁などの公的な発表を活用し、ウイルス対策ソフトやファイアーウォールの導入など、適切な対策を実施しましょう。

【セキュリティソリューションのご紹介】

Librus株式会社では企業のサイバー攻撃被害に備え、毎月10万円でホワイトハッカー、弁護士、ブランドコンサルタントをまとめてアサインできる 「セキュアナイト」というサービスを提供しております。

→セキュアナイトの詳細はこちら

またサイバーセキュリティに関するアドバイザリーやセキュリティ診断(脆弱性診断、侵入テスト)、デジタルフォレンジック(システム復旧支援中心)においても豊富な実績がございます。

ご相談は無料ですので、いつでもお気軽にお問い合わせください。

→問い合わせフォーム

→メールでのお問合せ

→資料請求

VIEW ALL
© 2020 LIBRUS Co., Ltd All rights Reserved .