ここでは金融機関で発生したサイバー攻撃について調査。それによりどのような被害を受けどう対応したのか、また考えられるセキュリティ上の問題や原因についてまとめました。
2015年11月30日、三菱東京UFJ銀行(現:三菱UFJ銀行)は会員制サイト等のサービス運営者の預金口座入出金明細が漏洩し、一部の顧客の電話番号が架空請求詐欺に利用されていたことを発表しました。
これは残高照会ダイヤルに不正アクセスがあり、振込明細から振込依頼人名として入力された電話番号を入手されたことによるものです。不正アクセスが起きた原因は本人確認する際のシステム仕様上で不備があったからとしています。
銀行側も認めていますが、残高照会ダイヤルサービスにおいて本人以外でも電話番号や氏名(カタカナ)の情報を取得できてしまうという、本人確認システムに問題がありました。住所や口座番号の漏洩はなかったものの、電話番号だけでも架空請求詐欺に利用されてしまったことで、本人認証の重要性を改めて考えさせられることになりました。
アフラック生命保険は2023年1月10日に、業務委託先の業者において同社の保有する個人情報の一部が流出していることがわかったことを発表しました。
情報漏えいサイトに顧客情報が掲載されているという情報を入手し、事実であることを確認。一部の保険商品加入の顧客1,323,468人を対象とする情報漏えいで、委託業者のサーバに第三者による不正アクセスがあった可能性があるとしています。
銀行や保険会社など金融機関のシステムは取り扱っている顧客数が多く、管理を外部に委託しているケースがあります。今回の情報漏えいの原因としては委託先業者のサーバーにおいてセキュリティ対策の甘さがあったことがありますが、委託元としての管理責任も出てきます。セキュリティ体制の監視・管理の問題の一つと言えるでしょう。
【専門家監修】
サーバーの脆弱性による
サイバーセキュリティのリスクと対策
コンサルティング業務・保険代理店業を営むナビインシュアランスサービスは2022年12月に業務に使用しているパソコンがマルウェアEmotetに感染。同社をを騙る不審メールが送信されていることを確認したと発表しました。
調査の結果、感染したパソコンに保管されていた名前や住所などの情報、メールの通信内容の一部が漏えいしたことが判明。不審メールが届いた際には開封せずに削除するよう注意喚起。問い合わせ窓口も設置する事態となりました。
業務で使用しているパソコンのマルウェア感染により不審メール送信の踏み台にされてしまった事例です。感染をしたのは社員のセキュリティ教育が徹底されていなかったことが原因で、業務用パソコンとはいえネットワークにつながる機器に顧客情報が保管されていたことにも問題があります。サイバー攻撃に対する危機意識が欠けていたと言えます。
【専門家監修】
マルウェア感染による
サイバーセキュリティのリスクと対策
金融機関の業務のデジタル化とともにサイバー攻撃の巧妙化が進んでおり、サイバー攻撃に対するセキュリティ管理態勢の検証が必要にされています。金融機関は業務規模が大きく、一部を外部に委託するケースが見受けられます。そのため社内のセキュリティレベルを高めるだけでなく、委託先も含め管理体制の強化が必要になります。
サイバーセキュリティを確保するためにはセキュリティ人材の育成が必要です。金融機関の基本業務は変わらなくてもシステム化・デジタル化は進む一方で、セキュリティに対する知識を持つ人材は不足しています。リスクを少しでも減らすためには部署ごとにセキュリティ人材を育成・配置する必要があり計画的な人材育成が求められます。
金融機関は巨額の資金が動くため、他業界よりも国際的なハッカー集団や国家の関与が疑われるサイバー攻撃のリスクが高いと言えます。一般的なサイバー攻撃に関する情報収集・分析はもちろん、金融犯罪の未然防止のために警察庁、公安調査庁、金融ISACといった関係機関と連携し、新たなリスクに対し先手を打った対応が必要です。
業界によって抱えているサイバーセキュリティのリスクは異なりますが、金融機関においては被害事例などを参考にしながら自社の脆弱性診断をした上で、セキュリティ対策のOODAループを回していくことが重要です。
脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る
当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。
大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。
巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。
ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス