金融機関が受ける標的型攻撃の手口
標的型攻撃の代表的な手法は、一見本物と見間違うようなメールを送信し、添付ファイルやリンク先からマルウェアを感染させるというものです。
企業の情報を調べつくしてから行うため、偽装が高度化しており、長年勤めたベテラン社員でも見抜けるのが困難になっています。このときランサムウェアを仕込まれると、社内にあるパソコンの情報が暗号化されて一斉に使えなくなり、身代金を要求されます。
また、企業がよく閲覧するWebサイトを狙った水飲み場攻撃も有名です。この攻撃では、企業がよくアクセスするWebサイトに悪意のあるコードを埋め込みます。そして企業がそのサイトを閲覧するとコードが実行され、マルウェアに感染する仕組みです。
特に金融機関はお金があると判断されて狙われやすいため、注意が必要です。
標的型攻撃による金融機関の被害事例
標的型攻撃により金融機関が攻撃されると、どんな被害がでるのでしょうか。
Webサイトの改ざんによる被害
海外のとある金融機関では、Webサイトを改ざんされ、気付かないうちに不正プログラムの拡散に加担してしまいました。この不正プログラムに感染すると、端末内にある個人情報が流出します。さらに遠隔操作で不正にお金を出金されるケースも少なくありません。
同じマルウェアを用いた攻撃は数か国で行われており、深刻な被害が続出しました。
メールの添付ファイルによる被害
日本のとある金融機関では、職員がメールの添付ファイルを開封したことでマルウェアに感染しました。感染してすぐに該当の端末を隔離しネットワークを遮断しましたが、少なくとも約125万件の個人情報が流出したと言われています。
またある会社では、同様の手口で800万人ほどの個人情報が抜き取られました。
金融機関が標的型攻撃の被害を受けないための対策
金融機関が標的型攻撃の被害を受けないためには、どのような対策をとればよいのでしょうか。
サイバー演習の実施
サイバー演習をすることで、実践的な対処法が身に付き、セキュリティの抜け道を発見することが可能です。このとき抽出した課題は、対応マニュアルの作成にも大いに役立つでしょう。
実際に金融機関同士でセキュリティー情報を共有する組織でも、日々進化する標的型攻撃に対し、サイバー演習を実施しています。この演習では、下記のような6つのシナリオを用意します。実践を考えている方は参考にしてください。
- ■標的型攻撃を受けた
- ■標的型攻撃を受けて顧客情報が流出した
- ■Webサイトで使うソフトのセキュリティホールが発見された
- ■子会社のWebサイトが攻撃を受けた
- ■クラウドサービスが攻撃を受けた
- ■APIサービスが攻撃を受けた
OS・ソフトウェアの更新
OS・ソフトウェアの更新を徹底することで、プログラムの脆弱性を解消できます。開発元からセキュリティパッチが配布されている場合は即座に対処しましょう。
脆弱性が解消されない間、そのソフトウェアは攻撃者のリスクにさらされます。そのため開発元から出される情報は常に確認して、プログラムを最新の状態に保ちましょう。
外部委託先に関する管理の強化
外部委託先の情報資産を正確に把握し、入口・内部・出口それぞれに多層防御を施しましょう。BCPで事業継続計画を立案する場合も同様です。社外からのアクセスについては、アクセス制限やデータの分散保有などで対処します。
すべての攻撃を完全に防ぐことは不可能なので、システムに侵入された後の対策も立てましょう。
有効な対策をし、標的型攻撃から自社を守ろう!
金融機関への標的型攻撃は、メールやWebサイトを介してマルウェアに感染させる方法が一般的です。
年々巧妙化しているため、サイバー演習を行い、実践的な対処法を習得しましょう。OS・ソフトウェアを常に最新の状態に保ち、外部委託先を含んだセキュリティ体制を構築することも大切です。
有効な対策をして、標的型攻撃から自社を守りましょう。
