銀行業におけるサイバーセキュリティ: 主な脅威とその予防方法
金融のサイバーセキュリティの最前線で何が起きているか
2023年11月26日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎
この記事はPowerDMARCのブログ記事 Cyber Security in Banking: Top Threats and Best Ways to Prevent Them の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
金融機関がますますオンライン化するにつれて、すべての機関がサイバーセキュリティのリスクにさらされています。
顧客データの保護はどのビジネスにも関連していますが、特に銀行やその他の金融システムでは、保存されるデータの機密性のためにさらに深刻です。
詐欺師たちは年々巧妙になっています。
そのため、金融機関は現代のサイバー脅威に対抗するための新しい方法を模索しなければなりません。
これが、時代に合わせて革新的なツールや技術を銀行のサイバーセキュリティに実装することが重要な理由です。
主なサイバーセキュリティの脅威を見て、金融機関がそれらにどのように対処できるかを見つけましょう。
銀行におけるサイバーセキュリティとは
銀行におけるサイバーセキュリティとは、顧客のデータや資産の安全を保証し、銀行の評判を維持するために設計された一連の技術と方法のことです。
よく考えられたサイバーセキュリティ戦略により、金融機関はサイバー攻撃、データ盗難、マルウェア、ハッキングなどの関連する脅威から顧客を効果的に保護することができます。
これは特に、銀行業のデジタル変革が従来の形態を凌駕している環境で真実です。
現金を使わないユーザがますます増えているため、金融機関はデジタル決済と顧客の機密データを保護するための措置を講じなければなりません。
そして、脅威がどのようなものかを知り、詐欺を見分けることができれば、その脅威と戦うことはずっと簡単になります。
2023年の銀行業界における主な脅威
金融機関が直面しているサイバーセキュリティリスクの中には、特に優勢なものがあります。
2023年に銀行業界にとって最大の脅威となるものを見ていきましょう。
マルウェアとランサムウェア
マルウェアとランサムウェアは、消えることのない大きな悩みの種です。
これらの攻撃は毎年進化し、銀行業界に多くの問題をもたらします。
攻撃の手口は次の通りです。
サイバー犯罪者がフィッシングメールを通じてコンピュータに悪意のあるソフトウェアを感染させ、暗号化を使用して一部のデータへのアクセスを制限します。
その後、詐欺師は銀行機関がデータアクセスを取り戻すために支払うべき金額を要求します。
マルウェア攻撃は、ビジネスや運営の混乱、財政的損失、評判の損傷など、深刻な潜在的な結果をもたらします。
さらに、サイバー犯罪者は脆弱なWebサービスを利用して、複数のユーザにランサムウェアを配信することができます。
フィッシング
フィッシングは、サイバー犯罪者が悪意のあるソフトウェアを広めるために好んで使用する手法の一つです。
その後、彼らは様々な策略を使って個人に偽りの理由で自分のデバイスにそれをインストールさせます。
一部の攻撃者は、顧客に個人情報を共有させ、それを不正目的で使用することも目指しています。
そのため、顧客は公式の銀行の通信と偽装されたフィッシングメールを受け取ることがあります。
この方法で、彼らは金融情報にアクセスし、顧客の口座からお金を盗むことができます。
また、このような攻撃は従業員を対象とすることもあります。
サイバー犯罪者は、顧客データを含む内部情報へのアクセスを提供するログイン資格情報を手に入れたいと考えているかもしれません。
リモートワークに伴うサイバーリスク
COVID-19パンデミックの際のロックダウン後、リモートワークは一般的な実践となり、銀行セクターを含む多くの活動分野で利用可能です。
リモートワーカーが重要または機密情報にアクセスする場合、サイバーセキュリティを真剣に受け止めることが非常に重要です。
リモートで働く人々は、個人のデバイスを使ってカフェ、自宅、または共同作業スペースで作業を行うことが多いです。
したがって、データ漏洩に関連する追加のリスクがあります。
さらに、銀行のIT専門家は従業員のソフトウェアを安全に保つことや、いかなる方法での管理もできません。
そのため、リモートワークにはより多くの潜在的なサイバーセキュリティの脆弱性が伴います。
そのため、銀行機関は、特にリモート従業員に潜在的な脅威について教育することに注意を払う必要があります。
従業員は、それらを認識し、リモートワーク環境で安全を確保する方法を知っていなければなりません。
暗号化されていないデータ
銀行のデバイスに保存されているが暗号化されていないデータは、多くの潜在的な脅威を生み出します。
データが暗号化されていない場合、ハッカーは容易にすべての機密情報にアクセスし、それをあなたやあなたの顧客に対して使用することができます。
したがって、保存されたすべての情報は暗号化されていなければなりません。
この方法により、詐欺師はそれをコンピュータから盗んだとしても、使用することができません。
IoT (Internet of Things)
5Gネットワークの発展に伴い、新しいサイバー脅威も登場しています。
5Gは比較的新しいため、そのアーキテクチャには十分に研究されていない多くの抜け穴が存在します。
そのため、ネットワークを使用する際には、各ステップが新しい種類のサイバー攻撃につながる可能性があります。
5Gを介してお互いに通信する際に、デバイスが外部の脅威に対してより脆弱になることを念頭に置いてください。
スマートフォンのウイルスとマルウェア
モバイルデバイスも今やリスクにさらされています。
Check Pointの調査によると、2019年には約2500万台のスマートフォンがモバイルマルウェアに感染し、2018年と比較して50%の増加を見せました。
これは、モバイルバンキングの人気が高まっている結果です。
人々が現金を使わなくなり、機密データをモバイルデバイスに保存するようになると、スマートフォンはハッカーの標的になります。
そのため、彼らはウイルスや悪意のあるソフトウェアでそれらを感染させようとします。
クラウドベースのサイバー攻撃
多くの金融サービスが機密情報をクラウドに保存するため、クラウドベースの攻撃が人気を博しています。
そのため、サイバー犯罪者はクラウドストレージから必要なデータを取得するための大規模な攻撃を開始します。
したがって、金融機関は慎重であるべきです。
データ漏洩を避けるために、クラウドインフラの安全な設定を確保することが推奨されます。
ソフトウェアサプライチェーンを通じて配信されるサイバー攻撃
このマルウェア配布方法は、銀行のサプライチェーンを利用して悪意のあるソフトウェアを配信します。
サイバー攻撃者にとっては、配布システムを妥協し、長期間そこに留まる絶好の機会です。
このような攻撃は通常、悪意のあるコードを含む正当なアップデートの形を取ります。
サイバー攻撃に抵抗するために、金融機関は顧客にアップデートを通じてサイバー犯罪者が個人情報を取得する方法について情報を提供する必要があります。
AI技術
人工知能はサイバーセキュリティ分野で多くの利点をもたらします。
その助けを借りて、IT専門家は最新の自動化されたセキュリティシステムを作成し、金融機関がセキュリティプロトコルを改善し、サイバー脅威を防ぐのを助けます。
しかし、AI駆動のツールはサイバー攻撃者によって賢いマルウェアツールを開発し、革新的なセキュリティシステムを迂回して悪意のあるコードを配信するためにも使用される可能性があります。
ソーシャルエンジニアリング攻撃
ソーシャルエンジニアリングはフィッシングに近いものですが、これらのサイバーセキュリティ脅威は異なる目的を追求する場合があります。
ソーシャルエンジニアリングは、ホエーリング攻撃(※)や偽の請求書の送信の形をとることもあります。
簡単に言えば、これは行動戦術を用いて人々に機密情報や機微な情報を明かさせたり、サイバー犯罪者にお金を渡させる脅威の形態です。
※訳注: ホエーリング攻撃(Whaling attack)とは、サイバーセキュリティにおける特定の形式のフィッシング詐欺の一つです。
この攻撃は、特に組織の上層部や重要な個人など、高位の目標(「クジラ」と見なされる人物)に焦点を当てています。
ホエーリング攻撃は、対象となる高位の個人(例えば、CEOやCFOなど)を騙すことを目的としており、通常は非常に説得力のある個別化されたメッセージングを使用します。
攻撃者が通常使用する方法は、信頼を築き、丁寧であることに基づいています。
例えば、詐欺師はあなたの友人のアカウントをハックし、その友人の代わりにお金を貸してくれと頼むことがあります。
この連鎖において人は最も脆弱なリンクであることを覚えておくことが重要です。
そのため、顧客や従業員にサイバー犯罪を防ぐために詐欺師が使用する方法について情報を提供することが不可欠です。
詐欺と身元盗用
これらのサイバー攻撃は金融セクターにとって新しいものではありませんが、攻撃者にとっては依然として成功しやすいものです。
これは、異なる形態をとり、個人データを行うために他のチャネルやチェーンを使用するためです。
したがって、顧客や従業員をこれらのサイバー脅威から保護するために、最新のサイバーセキュリティ戦略を実装することが重要です。
これには、不審なアカウント活動を検出し、それをブロックしてさらなる犯罪行為を防ぐツールが含まれます。
スプーフィング
この種の詐欺はフィッシングに似ていますが、より複雑で混乱しやすいものです。
既存の合法的なドメインに非常に似ている偽のドメインの形をとることがあります。
この方法では、注意の足りない顧客がそれを本物の銀行サービスと見なして、攻撃者にデータを共有する可能性があります。
一部の詐欺師は、合法的な番号と見分けがつかない捏造された電話番号を使用して、銀行の顧客に銀行を名乗ってテキストメッセージを送るか電話をかけることもあります。
なぜ金融機関は銀行サイバーセキュリティのトレンドを意識する必要があるのか?
金融機関は、多くの顧客から収集した機密情報を保存しています。
そのため、銀行セクターはサイバー脅威に関して最も狙われやすい領域の一つです。
金融機関が顧客満足度を向上させつつ安全性を損なわないようにするためには、サイバーセキュリティ攻撃に抵抗し、その影響を最小限に抑えるための確信を持った手段を講じる必要があります。
しかし、既存の脅威に対抗する革新的な方法が現れると、詐欺師たちはシステムを巧みに操る新しい策略を使い始めます。
そのため、数年前に効果的だった方法が、新しい現実では完全に役に立たなくなることもあります。
金融サービスとして、私たちは常にサイバー攻撃者より一歩先を行きたいと考えています。
銀行サイバーセキュリティのトレンドについて学ぶことがここで重要になります
と1F Cash AdvanceのCEO、ラトリア・ウィリアムズは述べています。
それらを知ることは、敵の顔を知ることのようなものです。
この知識は、潜在的なセキュリティ脅威に対応した効果的なデータセキュリティを提供するためのツールや措置をビジネスが選択するのに役立ちます。
金融機関が金融セクターに対するサイバーセキュリティ脅威から守るために取るべきステップ
重大な財政的損失や評判の損傷を防ぐために、銀行機関はいくつかの行動を起こす必要があります。
以下に、システムのセキュリティを確保し、金融セクターに対するサイバーセキュリティ脅威を回避するためのステップを示します。
- 現在のセキュリティ対策を評価する
- 最も重要なサイバーセキュリティ脅威を見て、自分の戦術に弱点がないか確認する。
- サイバーセキュリティサービスを第三者のパートナーに委託する
- これにより、スキルのギャップを埋め、必要な保護を得ることができます。
- 多要素認証を使用する
-
この認証形式では、ユーザは2つ以上のログイン資格情報を提供できる場合にのみ、自分のデータにアクセスできます。
この方法では、たとえサイバー犯罪者が顧客のログイン情報を盗んでも、クライアントのデータへのアクセスを防ぐ追加のセキュリティ層があります。 - サイバー保険について考える
-
サイバー保険は、あなたのサイバーセキュリティ計画全体の必須要素です。
これにより、サイバー攻撃が発生した場合に組織が財政的に安全であることを確信することができます。
これには法的費用、侵害の顧客への情報提供、損傷したシステムの修復やデータ再構築の費用をカバーする助けが含まれます。 - スタッフを訓練する
-
従業員に現在の脅威やリスクについて教え、それらをどのように認識するかを説明する。
このような訓練は定期的でなければならず、重要な変更を見逃さないようにしなければなりません。 - 顧客に情報を提供する
-
サイバー攻撃者が彼らの個人情報やお金を盗むために使用する方法について顧客に教えることは、あなたの最善の利益になります。
そうすることで、彼らが策略に引っかからないようにするのが簡単になります。
さらに、中央銀行、規制当局、および銀行機関は、銀行セクター全体の国家サイバーセキュリティ戦略を作成する必要があります。
これにより、銀行や金融企業がサイバー脅威に抵抗するのが容易になります。
FAQ
金融業界における主なサイバーセキュリティ脅威は何ですか?
最も大きなサイバーセキュリティ脅威には、マルウェアやランサムウェアの攻撃、フィッシング、ソーシャルエンジニアリング、リモートワーク、暗号化されていないデータ、Internet of Things、スマートフォンのウイルス、クラウドベースの攻撃、サプライチェーン攻撃などが含まれます。
銀行機関をサイバーセキュリティで保護するにはどうすればよいですか?
サイバーセキュリティを保つために、銀行機関は金融サイバーセキュリティの主要な要素に特別な注意を払い、それらを運営プロセスに組み込む必要があります。
これらの要素には、リスク管理、リスク分析、データの完全性、セキュリティ意識トレーニングが含まれます。
銀行セクターで利用可能なサイバーセキュリティの仕事は何ですか?
銀行セクターで最も人気のあるサイバーセキュリティの職業には、最高情報セキュリティ責任者、ネットワークセキュリティエンジニア、セキュリティアーキテクチャが含まれます。
なぜ金融機関にサイバーセキュリティが必要ですか?
銀行におけるサイバーセキュリティは、顧客を金銭の損失やデータ侵害から保護するために必要です。
安全な金融環境を顧客に提供することにより、銀行機関は良い評判を維持し、顧客体験を向上させることができます。
銀行におけるサイバーセキュリティに最も脅威を与えるものは何ですか?
顧客や従業員によるミスが、銀行におけるサイバーセキュリティを最も脅かす要因のトップにあります。
そのため、銀行やその他の金融会社は、顧客や従業員に潜在的なリスクについて警告し、機密データを保護し、サイバー脅威から守る方法を教える必要があります。