金融分野におけるサイバーセキュリティに関するガイドラインの解説

昨今のサイバー攻撃の増加などにより、サイバーセキュリティリスクへの対応の重要度は日増しに高まってきている。サイバーセキュリティ対策は経営層やリスク管理部門だけの課題ではなく、営業店職員までを含めて全社的に実行していくことが肝要である。本稿では、サイバー攻撃の現状と傾向、具体的な対策、そして従業員一人ひとりが日常業務で意識すべきポイントについて詳述する。
                                                                            株式会社クニエ　福澤　尚人

　　

1.サイバー攻撃の現状と傾向

⑴　ランサムウェア攻撃、フィッシング攻撃の増加が懸念

　金融庁では毎年「金融機関のシステム障害に関する分析レポート」(以下、システム障害分析レポート)を作成し、その原因分析や事例を共有している。加えて、近年のサイバー攻撃の被害状況等を踏まえて、その対策の重要性からサイバーセキュリティに特化した新たなガイドラインを作成している。
　金融庁のシステム障害分析レポートによれば、サイバー攻撃の手法は高度化・巧妙化している。特に、金融機関を狙った攻撃は、その手口が年々複雑化し、被害の規模も拡大している。営業店職員にも関係するところでは、ランサムウェア攻撃やフィッシング攻撃が挙げられる。これらの攻撃による被害は、大規模な顧客情報の漏洩や業務の停止を引き起こす重大なリスクとなっている。
①ランサムウェアは3年で約4.5倍に
　ランサムウェア攻撃は、悪意のあるソフトウェアがシステム内に侵入し、データを暗号化することから始まる。データが暗号化された状態では業務を継続することができず、業務復旧のためにはデータの復号化が必要であり、この対応に身代金を要求する。近年では新しいランサムウェア型の攻撃であるノーウェアランサム攻撃も発生している。
　この攻撃では、データの暗号化を行うのではなく、顧客情報等のデータを窃取し、データを公開してほしくなければ対価を払うことを要求する。また、このような攻撃は、全方位にばら撒く一般的なスパムメールとは異なり、ターゲットの組織に関する詳細な情報を収集し、それに基づいてカスタマイズされたメールを送信することで成功率を高めているケースもある。
　警察庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について(2024年3月14日公表)」によると、ランサムウェア攻撃による被害報告件数は、2020年下期では21件であったが,2023年下期には94件と約4.5倍に増加している(図表1参照）。この増加傾向にあるランサムウェア攻撃による被害の復旧に要した時間は1週間以上が52％であり、業務に甚大な影響を与える攻撃だと言える。

図表1　企業・団体等におけるランサムウェア被害の報告件数の推移

②フィッシング攻撃は3年で約6倍に
　フィッシング攻撃は、信頼できる組織を装った電子メールで偽のウェブサイトに誘導し、個人情報や認証情報を盗む手口である。この手法は、銀行やクレジットカード会社などの名前を騙ってメールを送信し、受信者に偽のウェブサイトにアクセスさせて情報を入力させるというものである。フィッシング攻撃は、特に電子メールを通じて行われることが多く、その報告件数は2020年では約22万件であったが、2023年には約119万件と6倍近くに増加している(図表2参照）。
　近年の被害事例として、2023年7月国内の港の統一ターミナルシステムがランサムウェア攻撃を受け、約2日半の業務停止に陥った事件が挙げられる。攻撃者はシステムの脆弱性を突いて侵入し、データを暗号化することで業務を停止させた。
　また、2024年1月には国内医療製品メーカーがフィッシング攻撃を受け、2億円相当の被害が発生している。この攻撃では、攻撃者が取引先を騙ったメールで支払先の変更を依頼し、攻撃者の銀行口座に支払いをさせた。

図表2　フィッシング報告件数の推移