みなさん、こんにちは。メンバーズルーツカンパニーの広報担当です。
今回は、アメリカで相次ぐ銀行の経営破綻と、そこから日本の地方銀行(以下:地銀)が危惧するべきことの1つとして、セキュリティリスクに着目してみました。混乱を起こしやすい時期に付け込んだサイバー犯罪、いわゆるソーシャルエンジニアリングが多くの銀行で増えています。その手口や銀行側のセキュリティ対策を紹介していきますので、ぜひ参考にしてみてください。
不安に付け込むフィッシング攻撃が多発!
5月にファースト・リパブリック・バンクが経営破綻し、3月にもシリコンバレーバンク、シグネチャーバンクが破綻、相次ぐアメリカの銀行の経営破綻に不安が広がっています。さらに、この時期を狙った「ソーシャルエンジニアリング攻撃」が増えるとされ、フィッシング攻撃やビジネスメール詐欺への注意が促されています。3 月に2つの銀行の破綻があった段階で、アメリカのセキュリティ企業であるProofpointの研究者は、暗号資産の事業者を偽装したサイバー犯罪者が “銀行危機”を悪用して展開する「フィッシングキャンペーン」を観測したと発表していました。企業内で脅威ハンターやサイバーセキュリティ担当者として活動する専門家は、悪意のある活動に注意するよう警告。サイバー犯罪者は、このような深刻なニュースに反応して潜在的な被害者をターゲットにする新しい方法を見つけ出しています。
これは対岸の火事ではなく、日本の地銀もセキュリティリスクを警戒すべきタイミングかもしれません。その理由は2つ。1つは体制強化のために新たなツールやシステムを導入することとなり、その際にセキュリティリスクが高まること。もう1つは銀行破綻で顧客や行員の混乱により、情報に対して過敏になってしまう心理に付け込んだソーシャルエンジニアリングが増えるということ。偽のWebサイトなどを用いずに情報システム部門の担当者を装って電話をかけ、システムにログインするためのIDとパスワードを聞き出すような手口もありますので、アナログな手法にも注意すべきです。
実際、今年は日本でも特に多くの銀行がフィッシング対策協議会で注意喚起される対象となっており、セキュリティ対策の強化が求められています。銀行のブランドも問わずターゲットとなっているため、オンラインバンキング等を使うユーザーには公式アプリやサイトの利用を促し、不安を煽るようなSMSやメールで手続きをしないように注意してもらわなければなりません。
参考:Cybersecurity Dive news「Bank failure panic fuels moment of opportunity for threat actors」
参考:Security NEXT「狙われるネットバンク利用者 – 銀行装うメールやSMSに警戒を」
以下から、地銀を中心に、銀行のセキュリティへの取り組みなどを紹介していきます。
新たな対策を講じるも課題は人材不足
3月には、株式会社エヌ・ティ・ティ・データがサイバーセキュリティ分野での共助をさらに進めるため共同で設立した「CMS-CSIRT」に参画することを決定し発表していました。これは、地銀共同センター参加行13行及び、MEJAR参加行6行による地銀共同センター・MEJARシステム・ワーキンググループの第2弾の取り組みです。定例会等でのセキュリティ部門の交流促進、セキュリティ強化に資する情報共有や、セキュリティ担当者の能力向上に資する勉強会を実施し、高度な共同サイバーセキュリティ対応の実現を支援していく見通しとなっています。
このように地銀のセキュリティリスクに対する意識は高まりを見せていますが、その一方でサイバー人材の不足を多くの地銀が感じているというデータも。金融庁と日本銀行の共同調査によると、新しいデジタル技術の導入により生じうるサイバーセキュリティのリスクについて、71.7%が評価可能な人材を十分に確保できていないとのこと。
参考:NTTデータ「サイバーセキュリティの共助推進組織『CMS-CSIRT』への参画について」
参考:Security NEXT「地方金融機関の7割、セキュリティリスクを評価できる人材が不足」
セキュリティ対策事例
多くの地銀でセキュリティ関連人材の課題を抱えた状態ではありますが、メガバンクを含めた各銀行で実施されている現状のセキュリティ対策も調査しました。ユーザーに対して公式サイトから注意喚起を促すコンテンツを設置していたり、行内のシステムには、先進的なセキュリティ技術を持ったIT企業の新システムを導入するなどの対応が見られます。
■三井住友銀行:
インターネットバンキングを推し進めている三井住友銀行では、個人・法人、それぞれに向けた金融犯罪に遭わないための対策を確認できるWebコンテンツを設置していました。個人向けのコンテンツでは、個人でできる対策や自行で行っている対策の紹介などで注意喚起をしています。法人向けのコンテンツは「簡単!やさしいセキュリティ教室 法人編」として、外部でのWi-Fi接続の危険性や社内管理体制の不備などの代表的なケースを挙げて紹介し、防御策までを一通り学べるものになっています。
参考:三井住友銀行「フィッシング詐欺」
参考:三井住友銀行「簡単!やさしいセキュリティ教室 法人編」
■福岡銀行:
直近では、5月9日に福岡銀行が不正アクセス検知サービスの「O-MOTION」導入を発表していました。「O-MOTION」はSaaS型アルゴリズム提供事業を手掛ける、かっこ株式会社提供のサービスです。これまでは福岡銀行独自による検知・モニタリングで対応していましたが、そこで課題となっていた検知精度や工数を「O-MOTION」のトライアルで検証し、導入が決定。また、「O-MOTION」は、WEBサイトにコードを埋め込むだけで簡単に導入可能であることや、厳格なセキュリティ対策が求められる金融機関(大手ネット証券や銀行)でも採用されているという特徴があります。
参考:PR TIMES「福岡銀行が不正アクセス検知サービス『O-MOTION』を導入」
■沖縄銀行:
沖縄の地域経済をけん引していく金融機関である沖縄銀行も、セキュリティ対策に力を入れているようです。扱う情報の性質からクラウド導入が遅れていた銀行業界の中にあっても、沖縄銀行ではいち早くクラウドの活用に取り組んできたとのこと。しかし、クラウドのセキュリティについては、内部の開発者だけの監視では視野が狭くなることや運用の負担が拡大することから、パロアルトネットワークス社製のクラウド保護ソリューション「Prisma Cloud」と、セキュリティソリューションサービス等を手掛ける株式会社ラックの「クラウドセキュリティ統制支援サービス」を導入。今後の運用に関しては、開発とセキュリティ対策と両者における部門施策、チーム編成や教育などを交えながらシステム開発を推し進めていくそうです。
参考:株式会社ラック:「株式会社 沖縄銀行様 クラウドセキュリティ統制支援サービスby Prisma Cloud(プリズマクラウド)事例」
まとめ
インターネットバンキングの普及やデジタルデバイスの浸透により、サイバー犯罪の手口も複雑化し続けていくことは明らかです。銀行システムでは安心・安全なオンライン取引ができる環境の構築だけではなく、行員や組織全体、顧客にもセキュリティリテラシーを高め続けられる仕組みが整っていること。デジタルと人、両面でセキュリティに強くなくてはなりません。
そして、これからの地銀は上記で紹介したようにセキュリティのノウハウを持っている他銀行やIT企業と協力して体制を整備しつつ、常にセキュリティ対策が万全であることが重要です。
今後もデジタルテクノロジーの潮流やDXに関する取り組みなどをご紹介していきます。
