金融業界が直面するサイバーセキュリティのリスクと課題

金融機関を標的とするさまざまな脅威とその対策について

金融サービスを提供している企業は、さまざまな金融犯罪や詐欺の標的になることは決して珍しくありません。しかし、時の移り変わりとともに詐欺の舞台も変わり、犯罪者はデジタル環境に合わせた戦略を練るようになりました。現在、サイバー犯罪者は、詐欺や恐喝のほか、企業のセキュリティを直接侵害して金銭を奪取するなど、さまざまな手段を用いるようになっています。

金融関連の企業が受けるサイバー犯罪の脅威の深刻さは、金融業界におけるデータ漏洩のコストを見れば一目瞭然です。IBMの2020年「情報漏えいのコストに関する調査」レポートによると、調査対象となった全業界におけるデータ侵害の平均コストが386万米ドルであったのに対して、金融サービス業界では585万米ドルでした。

さらに、金融業界は、特に顧客から収集する情報の質と量の両方で、サイバー犯罪者にとって魅力的な標的となっています。セキュリティ侵害によりデータが窃取されると、そのデータはアイデンティティ詐欺に悪用されたり、ダークウェブ市場で販売されたりします。これにより、攻撃を受けた企業の評判が失墜し、影響を受けた顧客への保証などの金銭的損害が発生することもあります。

ベライゾンの「2020年度データ漏洩/侵害調査報告書」では、金融機関に対して行われる攻撃の63%が、金銭的利益を目的として外部のサイバー犯罪者によって実施されているとしています。金融機関に対しては、クレデンシャルスタッフィング攻撃(流出したIDとパスワードを使用した不正アクセス)、ソーシャルエンジニアリング攻撃、詐欺、DDoS攻撃、マルウェア攻撃などが実行されます。

新型コロナウイルスの感染拡大により、多くの企業がテレワークへの移行を余儀なくされました。テレワークにより新たないくつもの課題が発生し、サイバー攻撃を受けるリスクが大幅に高まりました。あまりにも急激な移行であったため、企業は、従業員が自宅で仕事をする場合に発生するセキュリティ上の弱点を守るためのサイバーセキュリティポリシーを適切に導入する時間がなかった可能性もあります。

このような状況下では、企業はセキュリティ対策を強化し、さまざまな攻撃の被害に遭う可能性を低減しなければなりません。世界各国の1万人の消費者と経営幹部を対象にESETが実施した調査では、45%の企業がセキュリティ侵害を経験していることが明らかになりました。

「従業員」という攻撃対象領域

従業員が組織の礎石であることに疑いの余地はありません。しかし、古い格言にもあるように、「人は過ちを犯すもの」です。IBMのレポートによると、人的なミスはデータ漏洩の3つある根本原因の1つであり、データ漏洩の原因の23%を占めています。

従業員によるミスにはいくつもの形態があります、たとえば、不正なリンクをクリックしてフィッシングやソーシャルエンジニアリングなどの標的型攻撃を受けたり、システムを不正に設定したりする場合があります。フィッシングとソーシャルエンジニアリングの2つのミスは、パンデミックによるテレワークへの移行によって特に大きな脅威となっています。企業は、十分な準備期間がないまま急きょ移行せざるを得なかったため、十分に練り上げた計画を実施することができず、受け身的な対応を余儀なくされています。これまでオフィスワーカーであった多くの従業員がリモートワーカーとなりましたが、新しいリモート環境向けのサイバーセキュリティトレーニングを受けることもできませんでした。

企業はBEC(ビジネスメール詐欺)攻撃を受ける恐れもあります。BEC攻撃は、最も大きな金銭的な損害を与えるオンライン犯罪の1つであり、上司、管理者、またはビジネスパートナーの責任者になりすまし、そのメールアカウントから標的のユーザーに対して、商品の購入や配送、代金の送金などの作業を依頼します。そこで利用される住所や銀行口座は正規のものではなく、詐欺師が管理する住所や銀行口座になっています。また標的となった企業に、マルウェアを秘密裏にインストールするリンクや添付ファイルを含む不正な電子メールが送信されることもあります。これらのマルウェアをダウンロードするとコンピュータがマルウェアに感染し、ネットワークにマルウェアが拡散する恐れもあります。

これらの攻撃が発生する可能性を軽減するために、企業は従業員に適切なサイバーセキュリティトレーニングを実施する必要があります。フィッシングやソーシャルエンジニアリングを見分ける方法を従業員に教育するためのトレーニングを定期的に実施してください。また、安全なテレワーク環境を構築するためのヒントや、セキュリティに配慮したカンファレンスツールを使用したコミュニケーションの方法、社内システムへのリモートアクセスを安全に行う方法などを定期的に従業員に周知することも重要な対策になります。

必要な対策を講じることで、将来的な金銭的な損害を受けたり、企業の信頼が毀損したりしないようにできます。パンデミックが過ぎ去った後でも、すべての従業員がオフィス勤務に戻ることはないため、これらのリモートワークのためのサイバーセキュリティ対策は長期にわたって役立つことでしょう。

技術的なサポートを取り入れる

従業員を教育することは、サイバーセキュリティを強化するための重要な要素ですが、これは大きなパズルの1ピースに過ぎません。ビジネスインフラ全体に導入される技術的なソリューションが、サイバー脅威に対する防御の要です。多くの投資が必要となることに疑問を呈する人もいるかもしれません。しかし、何事もない事を願いつつも、万が一の時のために準備することが重要です。ESETの調査によると、調査対象組織の28%が、ファイナンスのセキュリティの向上に役立つ新しいテクノロジーへの投資を積極的に行っていないか、少なくとも積極的に投資していることを把握していませんでした。

企業の規模にかかわらず、すべての企業は、サイバー攻撃の発生に備えて事業継続計画を策定する必要があります。これらの計画には、データのバックアップや、予算に余裕があれば、企業全体を網羅するバックアップインフラストラクチャの構築を含めるべきです。これらの対策は、ランサムウェア攻撃を受けた場合に非常に有用です。しかし、バックアップを効果的に行うためには、定期的な更新と、バックアップが正常に動作しているかどうかのテストを頻繁に行う必要があります。

すべてのオペレーティングシステムとソフトウェアは、定期的に更新され、パッチを適用する必要があります。セキュリティプロフェッショナルを採用している、あるいは、サイバーセキュリティを専門とする部署がある場合は、これらの担当者や担当部門がこれらのアップデートを管理し、自動的に最新のバージョンにアップデートされるようにシステムを設定しているはずです。また、サードパーティーのサービスにシステム管理を委託している場合も同様です。悪名高いWannaCryptor(別名:WannaCry)が、パッチが適用されていないマシンを介して拡散し、大惨事を引き起こしたことを考えると、これらの対策の重要性を決して過小評価してはなりません。

サービスを提供する能力を低下させるDDoS攻撃も、企業が直面する可能性のある脅威です。DDoS攻撃を受けると、処理しきれない膨大な要求がシステムに押し寄せ、システムがダウンします。システムがダウンすると、数十万ドルの収益を失うことも多くあります。このような事態を避けるために、DDoS攻撃を緩和するためのサービスを利用するとともに、このような攻撃に対処できるだけの十分な帯域幅、設備、スキルを備えたインターネットサービスプロバイダーを利用し、悪意のあるトラフィックの流入を抑制する必要があります。

まとめ

金融機関は依然として多くのサイバー犯罪者の標的となっています。攻撃の被害を受けないようにする十分な防御策を講じることは可能です。しかし、十分に強力な防御の仕組みを構築するためには、企業は、従業員のトレーニングと、適切な技術的なソリューションおよび事業継続計画の両方に投資し、全体的にバランスのとれたアプローチをとる必要があります。