社会のインフラである銀行をはじめ、不正アクセスをされた際、直接的かつ大きな被害となりやすい金融業界。
インターネット・バンキングの普及と同時に、銀行各行は堅牢なデータセキュリティ対策を求められていることをご存知でしょうか。
この記事では、
- 銀行への不正アクセス被害状況
- 銀行が不正アクセスされると起こりうるリスク
- 銀行への不正を行う手口から見る不正アクセス対策
について、解説します。
銀行において、不正アクセスが起きた後の被害拡大を防ぐためには、スムーズに対処できるマニュアルを事前に用意しておくことが重要です。ぜひダウンロードのうえご活用ください!
\不正発覚した時に企業としてどう対応しますか?/
目次
銀行への不正アクセスによる被害は増加傾向にある
銀行への不正アクセス被害は実態としてどのようなものがあるのでしょうか。
2021年2月にイオン銀行が「来店予約・オンライン相談サービス」の不正アクセス被害を受けたニュースが記憶に新しいです。被害内容は、顧客データを管理しているクラウド型のシステムでへ不正にアクセスされ、対象となる2,062名の個人情報が閲覧された可能性がある、というものです。
このような銀行システムへの不正アクセスは後を絶ちません。なかでも直接的な被害となるインターネット・バンキングに係る不正送金は、警察庁によれば、令和3年4月~12月の発生件数は584件、被害総額は約8億2,000万円となっています。
参考:令和3年におけるサイバー空間をめぐる脅威の情勢等について
また金融庁の発表しているインターネット・バンキング犯罪の被害状況によれば、被害件数は令和1年度は減っていますが、平均被害額は増加傾向にあります。
※(別紙4‐1) Excel:インターネット・バンキングによる預金等不正払戻し(被害発生状況・補償状況)をもとに作成
これらから、サイバー犯罪者に銀行システムがいかに狙われているか、ということがうかがえます。
銀行が不正アクセスされると起こりうる3つのリスク
銀行が不正アクセスされると起こりうるリスクは以下の3つがあります。
- 多額の賠償金
- 社会的信用の失墜
- 長期的なブランド棄損
それぞれ、どんな内容かを詳しくみていきましょう。
1つ目のリスクは、多額の賠償金がかかることです。
インターネット・バンキングの普及とともに設けられた預金者保護法により、「預金者側に過失がない限りにおいて、サイバー攻撃により不正送金された金額は原則銀行側が負担しなければならない」と定められています。
そのため多額の賠償金を支払う必要があります。また、被害にあった預金者は金融機関からのヒアリングや捜査機関の調査に協力することが不正送金の補償の条件となっています。
他にも「この銀行は不正アクセス対策が弱いため使いたくない」という負のイメージが広がり、結果としてその銀行と取引を行う法人や利用者数が減ってしまったり、新たな利用者が増えなくなったりしてしまうことが挙げられます。
銀行へ不正を行う手口は3つ
悪意のあるサイバー攻撃者が銀行へ不正を行う手口としては、以下の3つが代表的です。
- フィッシング
- クラウドサービスへの不正アクセス
- ウイルス感染
なかでも最もよく用いられる手口は、フィッシングです。攻撃者は金融機関を装ったメールやSMS(ショートメッセージ)を送ります。
利用者がそのメッセージの本文に記載されたリンクをクリックすると、金融機関そっくりのフィッシングサイトに遷移し、利用者がフォーム内に情報を入力してしまうことにより、IDやパスワード等が盗み取られる、というものです。
クラウドサービスへの不正アクセスはその名の通り、サイバー攻撃者が
- 個人で利用しているサービスのログイン用のIDやパスワードのメモツール
- 企業で利用している顧客情報を格納しているクラウドサービス
を狙い不正アクセスを試みる、というものです。特にパソコンやスマートフォン上のメモアプリはクラウドに自動バックアップされる仕様になっていることがあるため、注意が必要です。
ウイルス感染は、不特定多数や特定の個人や企業を狙ったメールのリンククリックや添付ファイルの開封などで発生します。ウイルスに感染するとサイバー攻撃者の侵入を可能にしてしまうため、メールも用心深く確認する必要があります。
ここで紹介した3つの手口の他にも、不正アクセスを行う手口は様々です。より詳しく不正アクセスの手口と対策を知りたい方はこちらの記事もご覧ください。
銀行がすべき不正アクセス対策6つ
上記のことから、不正アクセスを防ぐために銀行が行うべき対策は、人的なところからシステム導入まで必要といえます。
ここでは、以下の6つを順に詳しく解説します。
- 関係者に定期的なセキュリティ教育を徹底する
- ワンタイムパスワードを使用する
- 二要素認証を活用して不正ログイン防止を強化する
- サーバーのOSを最新状態にする
- ファイアーウォールを設定し通信を暗号化する
- 不正ログイン検知サービスを導入する
【対策1】関係者に定期的なセキュリティ教育を徹底する
社内の実在する人物になりすましたメールの添付ファイルやリンクのクリックを防ぐには、人為的なミスを誘うサイバー攻撃に警戒する企業の体制にすることが重要です。
関係者に定期的なセキュリティ教育を実施することにより人為的なミスを減らしましょう。
【対策2】ワンタイムパスワードを使用する
ワンタイムパスワードとは、SMS等で送られる一定時間のみ利用できるパスワードのことです。
利用者が事前に登録していた電話番号にしか通知されないため、サイバー攻撃者がワンタイムパスワードを入手することは困難です。
各種サービスへのログインの他、銀行口座への出金・送金の際に利用するケースが多いです。
【対策3】二要素認証を活用して不正ログイン防止を強化する
二段階認証とは、その名の通り、2つの要素を用いてユーザーを認証する仕組みです。
Webサイトへの不正ログインを防止する際に利用されます。
ログインIDとパスワードの他に
- あらかじめ定めた「秘密の質問」とその回答を照合する知識認証
- ICカードやスマートフォンなど本人だけが持っている物により照合する所有物認証
- 指紋や虹彩といった身体的特徴で照合する生体認証
- ワンタイムパスワード
などを用います。
これらの情報もサイバー攻撃者が知りえない情報であることから、不正ログイン対策として有効に働きます。
【対策4】サーバーのOSを最新状態にする
サーバーのOSを最新状態に保つことは、システムの脆弱性をついたサイバー攻撃を防ぐことと同義です。
もしも古いバージョンのOSを使い続けていると、サイバー攻撃の標的になりうる期間が長くなってしまうため、常にアップデートしておく必要があります。
【対策5】ファイアーウォールを設定し通信を暗号化する
ファイアーウォールとは、インターネットからの不正な侵入を防いだり、ウイルスの侵入を防御したり、自分のコンピュータを外部から見えなくしたりする防御壁です。
サイバー攻撃者から、自社以外の許可されていない外部コンピュータからのアクセスを防ぐ手段として有効です。
具体的な仕組みについては、以下が参考となります!
【対策6】不正ログイン検知サービスを導入する
不正ログイン検知サービスを導入するのも1つの手です。二要素認証などを行う場合、正常な利用者にまで追加の認証を行うこととなるため、利便性が落ちてしまいます。
場合によっては利用者が減ってしまう原因にもなるため、「不正の疑いがあるユーザー」にのみ認証を行うことをおすすめします。
この点不正ログイン検知サービスを導入すれば、不正を検知したユーザーにのみ追加の認証を行うことが可能となります。
たとえば不正ログイン検知サービス「O-MOTION」は、
- 同一IPアドレスからの機械的なアクセスと判定できる場合
- ログイン情報を入力するときの動作が通常の利用者と異なる場合
などの不正を検知し、追加の認証をかけることが可能です。
O-MOTIONの詳細については、以下からお問い合わせください。
\期間限定トライアル受付中/
O-MOTIONの詳細を見る
▲無料の資料請求はこちら
まとめ
この記事では、増加傾向にある銀行への不正アクセス被害状況とその手口、リスクと対策について解説しました。
お金を扱うからこそ、銀行をはじめとする金融機関はサイバー攻撃者に狙われやすく、利用者が安心できる堅牢なセキュリティ対策が求められ、法整備も進んでいます。
万が一に備えて、スムーズに対処できるマニュアルを用意しておくことで、被害を最小限に抑えることが可能です。関係者のセキュリティ教育にも活用できるため、ぜひダウンロードのうえご活用ください!
\不正発覚した時に企業としてどう対応しますか?/
