こんにちは。DNPハイパーテックマーケティング部です!
今回は「金融業界のセキュリティ」についてお話させて頂きます。

(前置きが少々長いようですが、お付き合い頂ければと思います!↓↓)

—–
金融業界は、いち早くコンピューターシステムを導入し事業の効率化を行ってきました。
銀行API連携を後押しする2018年6月の銀行法改正、
メガバンクグループの基幹システムのクラウド化等、
昨今でもデジタルトランスフォーメーション化の歩を早めています。

また、今般の新型コロナ禍において、“非対面”・“非接触”の支払いや購入チャネルといった技術が、
新たな生活様式の一部としてより一層必要とされています。
こうした動きは生活者への提供価値をますます高め、身近なところでは、
スマートフォン1台で完結するワンストップのサービスもさらに進化していくでしょう。

一方で、セキュリティの取組はどうでしょうか。
サービスが便利になるほど、多くの人が使用するため一般消費者を狙った
フィッシングやなりすましのサイバー攻撃は後を絶ちません。

企業は大切なユーザー様を、ひいては会社を攻撃から守るために
システム全体のセキュリティ対策の実行が大切です。
今回は、直近の金融業界へのサイバー攻撃の動向と今後の対策のポイントについて解説します。

——————————————————————

▮コロナ渦の金融機関への攻撃増加の背景

つい先日発生した、決済事業者の本人確認の脆弱性と、企業間の連携の甘さをついた
大規模な不正引き出し被害のニュースはまだ記憶に新しいことでしょう。

海外でも新型コロナウィルス対策以降、金融機関のサイバー攻撃が238%増加したと取り上げられています。

“VMware Carbon Blackは米国時間5月14日、第3回目となる「Modern Bank Heists」報告書を発表した。それによると、新型コロナウイルス感染症(COVID-19)が世界で急拡大した2~4月にかけて、金融機関を狙ったサイバー攻撃が238%急増したという。”

-ZDNet Japan「金融機関へのサイバー攻撃、コロナ感染拡大期に238%増加」 2020年5月15日

https://japan.zdnet.com/article/35153824/

また続けて以下のように記載しています。

“米シークレットサービスのCyber Investigations Advisory Board(CIAB)でエグゼクティブディレクターを務めるJonah Force Hill氏は、次のように述べている。「モバイル機器、クラウドベースのデータストレージやサービス、デジタル決済システムの商業成長が安定していることと相まって、サイバー犯罪者が悪用できる攻撃ベクターが増え続けている。あらゆる組織、とりわけ金融サービスプロバイダーは、進化する脅威に対して厳重な警戒を続ける必要がある」”


-ZDNet Japan「金融機関へのサイバー攻撃、コロナ感染拡大期に238%増加」 2020年5月15日

https://japan.zdnet.com/article/35153824/

特に金融機関は、サイバー攻撃の金銭目的の対象となるためセキュリティ対策重視化の検討が必要でしょう。
では、今後金融機関はシステムのどの部分を守る必要があるでしょうか。

同記事には、金融企業を狙ったマルウェアの動向についても記載されています。

“2月〜4月末にかけて、金融分野を標的にしたランサムウェア攻撃も約9倍に増加した。
回答者によると、単なる情報の窃盗にとどまらず、システム破壊を試みる攻撃も一般的になりつつある。”

-ZDNet Japan「金融機関へのサイバー攻撃、コロナ感染拡大期に238%増加」 2020年5月15日

https://japan.zdnet.com/article/35153824/


▮ 今後重点的にセキュリティ対策をすべき箇所

このように、マルウェアはIT技術の発展とともに攻撃手法や特徴を変え多様化しています
国内では大きな被害になっていませんが、海外では金融機関が配信するモバイルアプリが
サイバー攻撃の対象になっていることをご存知でしょうか。

その代表的な例が「Event Bot」です。

“EventBotは、モバイルバンキングのトロイの木馬で、Androidのユーザー補助機能を悪用して金融アプリケーションからユーザーデータを盗み取り、メッセージを読みメッセージを盗んで、マルウェアが2要素認証をバイパスできるようにする”
“EventBotは、バンキング、送金サービス、暗号通貨ウォレットなど、200種類以上の金融アプリケーションのユーザーをターゲットにしています。”
“企業データを保存しているまたはそれにアクセスしているデバイスの60%はモバイルで、企業がBYOD(Bring-Your-Own-Device)ポリシーを設定している場合、そのモバイルデバイスには大量の個人データとビジネスデータが格納されています。モバイルマルウェアは、企業と消費者のどちらにとっても重大なリスクであり、個人データとビジネスデータを保護する際には考慮する必要があります。”

-Cybereason/サイバーリーズン ブログ「EVENTBOT:モバイルバンキングに新たなトロイの木馬が登場 」2020年5月19日

https://www.cybereason.co.jp/blog/cyberattack/4652/


調査を行うCyberreasonによると、モバイルデバイスは個人情報だけでなく、
非常に機密性の高い企業データのアクセス源にもなり得る
ことを示しています。
こうした事態は現状、米国やヨーロッパ地域で多く発生していますが、
今後日本にも同じような流れがやってくることは否定できません。

企業側がいくら社内のネットワークやシステムのセキュリティを固めようとも
生活者のモバイルデバイスが突破口となる可能性もあるということになります。


▮ 金融機関のデジタルバンキング化の加速

今後、国内では海外が先行して取り組む“デジタルバンキング化“が一層進むと予想されます。
金融事業の収益を生み出すため、店舗でのサービスをオンラインで受けられるだけでなく
他事業と組み合わせた顧客にとって魅力的なサービスの拡充が必要となります。

具体的には、既に日本でも実施されている“オンライン診療”の医療分野に加え、
Eコマースを連携させた薬の処方やサプリの提供。
またパーソナルな健康・運動データを保険と結びつけ保険料を算出するサービスも
一度は聞いたことがあると思いますが、これらをアプリケーションにより実現する企業が台頭しています。

銀行のAPI開放は、他業界との新たなエコシステムを構築し、モバルアプリを活用して、
より便利で高度なサービスを生んでいくことでしょう。
こうした背景を踏まえると、
ネットワーク・バックエンドのシステムに加え、
モバイルアプリも含めたプラットフォーム全般のセキュリティ

に配慮した対策が必要になります。