1. HOME
  2. ブログ
  3. 銀行を狙ったサイバー攻撃が増加傾向にあることを報告

銀行を狙ったサイバー攻撃が増加傾向にあることを報告

チェック・ポイント・ソフトウェア・テクノロジーズは、銀行を狙ったサイバー攻撃が増加傾向にあるとして警鐘を鳴らしている。

銀行は、日々進化するサイバー攻撃の脅威に立ち向かうため、ゼロトラストの考え方を基本としたセキュリティ対策の導入や、顧客への啓発活動など、包括的な安全対策の強化が求められている。しかし、銀行取引が紙の台帳からデジタルプラットフォームへと移行する中で、サイバー攻撃、情報漏えい、フィッシング詐欺などの脅威は、顧客との信頼関係を揺るがしかねない深刻な問題となっている。そのため、サイバーセキュリティ対策は、もはや技術面での必要性だけでなく、顧客との信頼関係を維持・強化するための不可欠な要素として位置づけられている。

銀行へのサイバー攻撃は急増の一途をたどっており、チェック・ポイントの脅威インテリジェンスレポートによると、直近の第3四半期において、銀行は週平均1,696件のサイバー攻撃の標的となっている。この数字は対前年比で40%以上の増加となっており、脅威の深刻さを裏付ける。2023年12月にレソト中央銀行で発生したサイバー攻撃では、国全体の決済システムが機能停止に陥り、セキュリティ対策の不備が国家レベルの危機を招きかねないことを明確に示した。

国際通貨基金(IMF)と米国Advisen社のサイバー損失データによると、過去20年間で金融業界は2万件以上のサイバー攻撃により、120億ドルの損失を被っている。金融業界は日々、多額の金融取引や機密性の高いデータを扱っているため、金銭の窃盗や経済活動の妨害を目論むサイバー犯罪者の格好の標的となっている。

このことは、金融業界にとってサイバーセキュリティがいかに不可欠であるかを浮き彫りにしている。デジタル化が進む現代において、堅牢なサイバーセキュリティ体制の構築は、金融機関が顧客との信頼関係を維持し、安全なサービスを提供し続けるための要となっている。

信頼とテクノロジーの相互作用

現在の銀行エコシステムにおいて、信頼とテクノロジーは切り離すことのできない関係にある。テクノロジーは、インターネットバンキングやモバイルアプリを通して利便性を提供する一方で、フィッシング詐欺やランサムウェアといった巧妙なサイバー攻撃の機会も生み出している。

信頼の崩壊はサイバー攻撃によって引き起こされ、以下のような具体的な損失につながる。

  • 金銭的損失:資金の直接的な盗難、もしくはシステム復旧に必要なリソースの損失が発生する。
  • 重要な銀行業務の中断:電子決済や口座へのアクセスの遅延は、顧客の日常生活に影響を及ぼし、さらに他の金融機関への波及効果を引き起こす可能性がある。
  • ブランド価値の低下:顧客の不満やメディアの報道により、企業の評判が長期にわたって損なわれる。

金融システムへの信頼が損なわれることによる金融・経済の安定性への脅威は、金融機関同士の資金の流れを阻害し、最悪の場合、世界規模で金融取引が混乱するなど、より深刻な影響を及ぼす可能性がある。

今日では、顧客の信頼を得るために、銀行には顧客の機密情報を守り抜き、安全かつ円滑な取引を確保する能力が求められている。

銀行を狙ったサイバー攻撃との戦い

金融部門は各国にとって“重要インフラ”として認識されていることから、世界各国の政府は銀行業界のサイバーセキュリティ体制を強化するための規制を整備しており、この動きは近年さらに加速している。

例えば近年、銀行への大規模なサイバー攻撃が相次いでいるアメリカでは、連邦金融機関審査評議会(FFIEC)が、各金融機関においてサイバーセキュリティのリスクを把握し、その対策状況を評価できる専用ツールを提供している。さらに、グラム・リーチ・ブライリー法では、融資、金融・投資アドバイス、保険などの金融商品およびサービスを消費者に提供する金融機関に対し、情報共有の方針を顧客に説明し、顧客情報などの機密データを保護することを義務付けている。

ヨーロッパでは、強力なEU一般データ保護規則(GDPR)によって、厳格なデータ保護とプライバシーに関する法律が施行されており、銀行は顧客データを保護するために強固なサイバーセキュリティ対策を実施することが求められている。

また、アジア太平洋地域では、シンガポール金融管理局(MAS)がテクノロジーリスク管理(TRM)ガイドラインを発行しており、金融機関が適切で強固なテクノロジーリスクガバナンスを確立し、テクノロジーとサイバーリスクを効果的に管理できるよう、リスク管理の原則とベストプラクティスを提示している。一方、オーストラリアでは、オーストラリア健全性規制庁(APRA)が健全性基準CPS 234を導入した。この基準は、サイバーリスクの低減とサイバーセキュリティの向上を目的とするもので、APRA規制対象の組織に対して、情報セキュリティの脆弱性や脅威に見合った情報セキュリティ能力を維持し、インシデントの可能性と影響を低減するためのベンダーリスクマネジメントの手法を採用することを求めている。

サイバー攻撃を防ぐための最善の方法

  1. ゼロトラストアーキテクチャの導入:すべてのデバイスとユーザーを、デフォルトで信頼しないものとして扱う。
  2. AI駆動の脅威検知の活用:AIによってリアルタイムで異常を特定し、無効化することができる。
  3. 機密データの暗号化:転送中および保管中のデータを安全に保護する。
  4. 定期的なセキュリティ監査:頻繁なチェックにより、脆弱性の特定と軽減が可能にする。
  5. サードパーティー連携の保護:ベンダーの審査とサプライチェーンの脆弱性監視を行う。
  6. 顧客教育:強力なパスワードポリシーから多要素認証(MFA)の推進、フィッシング詐欺を見分けるためのトレーニングまで、サイバーセキュリティのベストプラクティスについて顧客を教育することは、攻撃の防止に大いに役立つ。十分な知識を持つ顧客は詐欺の被害に遭いにくく、個人と組織、両方のリスクが低減される。

デジタル時代において、銀行への信頼は、サービスの質だけでなく、システムとデータを保護する金融機関の能力にも基づいている。この信頼関係において、サイバーセキュリティは重要な基盤として機能し、安定した金融サービスの提供と業務の継続性を確保している。顧客が銀行に寄せる信頼は、最新のサイバーセキュリティ対策への継続的な投資と、金融システムの安全性を確保するための徹底した取り組みによって支えられている。

本プレスリリースは、米国時間2024年12月4日に発表されたブログ(英語)をもとに作成している。

出典:PRTimes チェック・ポイント、銀行を狙ったサイバー攻撃が増加傾向にあることを報告 電子決済やATM取引にも影響の恐れ

関連記事

人気コーナー「サイバーセキュリティー四方山話」が電子書籍で登場!!