公開日：2024年6月20日｜最終更新日時： 2024年8月22日

金融機関へのサイバー攻撃被害事例

金融機関を標的としたサイバー攻撃の急増

2020年2月から4月にかけて、新型コロナウイルス感染症の世界的な流行に伴い、金融機関を狙ったサイバー攻撃が238％も増加したことが報告されています。たった2か月のこの期間におけるランサムウェア攻撃は約9倍に増加しました。^※1また、日本銀行が約400の金融機関を対象に実施したアンケートでは、サイバー攻撃の脅威が高まっていると感じている金融機関は7割強にも上ることがわかりました。分析により最近のサイバー脅威として、ランサムウェア攻撃の凶悪化と、DoSやDDoS攻撃の規模拡大が指摘されています。^※2

参照元1：VMware Carbon Black 「‘Modern Bank Heists’ Threat Report」
（https://news.broadcom.com/releases/modern-bank-heists-threat-report-from-vmware-carbon-black-finds-dramatic-increase-in-cyberattacks-against-financial-institutions-amid-covid-19）

参照元2：【PDF】日本銀行金融機構局「サイバーセキュリティの確保に向けた金融機関の取り組みと課題　－アンケート（2019年9月）調査結果－」
（https://www.boj.or.jp/research/brp/fsr/data/fsrb200131.pdf）

DDoS攻撃とは？「IoT機器に対するサイバー攻撃」でチェック

ランサムウェア攻撃の凶悪化

独立行政法人情報処理推進機構（IPA）は、これまでの無差別攻撃に加え、「人手によるランサムウェア攻撃」と「二重の脅迫」が新たな手法として登場していると警告しており、ランサムウェア攻撃の手口がますます巧妙化してきています。「人手によるランサムウェア攻撃」は、これまでのウイルスメールのように無作為に感染を試みるのではなく、特定の組織やサーバー、システムに対し一斉攻撃を仕掛けるものです。これに加え「二重の脅迫」は、(1)ランサムウェアによって暗号化されたデータを復旧するための高額な身代金要求と、(2)暗号化する前に窃取しておいたデータをウェブ上に晒すといった脅迫をし、更なる金銭要求をしたりするものです。

実際に2020年4月、米国の航空機メンテナンス会社がランサムウェア攻撃を仕掛けられ、攻撃者によって窃取されたデータがリークサイトに公開されてしまった事例があります。さらにこの攻撃者は攻撃後も同社のネットワーク内に潜伏し、データを窃取していたという事実も確認されており、「人手によるランサムウェア攻撃」や「二重の脅迫」によって、一度に受けるサイバー攻撃の被害規模がこれまで以上に大きなものになってしまう可能性が高くなってきています。

参照元：独立行政法人情報処理推進機構（IPA）（https://www.ipa.go.jp/archive/security/security-alert/2020/ransom.html）

参照元：【PDF】独立行政法人情報処理推進機構（IPA）「事業継続を脅かす新たなランサムウェア攻撃について～「人手によるランサムウェア攻撃」と「二重の脅迫」～」
（https://www.ipa.go.jp/archive/files/000084974.pdf）

リークサイト上で脅迫するために作成されたウェブページ
引用元：【PDF】独立行政法人情報処理推進機構（IPA）「事業継続を脅かす新たなランサムウェア攻撃について～「人手によるランサムウェア攻撃」と「二重の脅迫」～」
https://www.ipa.go.jp/archive/files/000084974.pdf

金融機関を狙った標的型サイバー攻撃の脅威

オンライン取引の増加やキャッシュレス決済の普及などにより、ユーザビリティが向上し便利になる一方で、金融機関や決済サービスはサイバー攻撃の標的にされやすい傾向にもあります。たとえば2020年、日本国内で大規模な銀行口座の不正利用があり、11の銀行で120件以上、被害総額は2,800万円以上に上る事件が発生しました。^※

金融機関側は顧客からの信用のためにも、本人確認を強化するためにオンラインでの確認システム（eKYC）や、SMSによる2段階承認を導入するなどして対策を講じる必要があるでしょう。

参照元：日本経済新聞オンライン（2020年10月15日）（https://www.nikkei.com/article/DGXMZO65045400V11C20A0X30000/）

金融機関へのペネトレーションテスト実施ベンダーを確認する

在宅勤務の浸透とセキュリティ課題

新型コロナウイルス感染症の影響があり、金融機関でも在宅勤務が広がっています。日本銀行の調査^※によると、アンケート調査に応じた全大手銀行、および地方銀行の約半数が在宅勤務制度を導入しています。しかし在宅勤務の普及に伴い、システム接続環境や業務用端末、情報の授受方法、Web会議サービスの利用、職員教育など、セキュリティ対策に関する課題が顕在化しています。

専門知識を持つ人材の不足
取引先や外部委託先も含めた広範囲な対応の必要性
攻撃の高度化に伴うコスト負担の増大
クラウド利用の増加に対するセキュリティ対策の不十分さ

このような課題を解決しつつ、金融機関が持続可能な成長を目指すためには、サイバーセキュリティの強化が不可欠です。

参照元：【PDF】日本銀行金融機構局「サイバーセキュリティの確保に向けた金融機関の取り組みと課題　－アンケート（2019年9月）調査結果－」
（https://www.boj.or.jp/research/brp/fsr/data/fsrb200131.pdf）

攻撃を前提としたセキュリティ対策としてペネトレーションテストのススメ

激化する金融機関に対するサイバー攻撃に備えるためには、実際の侵入による疑似攻撃で自社のセキュリティ性を試す、ペネトレーションテスト（特にTLPT）が有効的です。最新のセキュリティ情報はこまめにチェックし、新しい脅威にも動じず速やかな対応ができるよう、対策を講じておきましょう。

本メディアでは得意な領域ごとにおすすめのペネトレーションテストベンダーを紹介しています。ペネトレーションテストの依頼を検討されているご担当者はぜひ参考にしてください。

【得意領域別】おすすめ
ペネトレーションテストベンダー3選

よく読まれている関連ページ