「当行もそうだが、痛い目に遭って初めてセキュリティ投資が進む。国内外の銀行などと情報を共有して、この状況を変えたい」。日本サイバー犯罪対策センター(JC3)が開催した年次カンファレンスの一つ目の講演に、三菱東京UFJ銀行の松野善方コンプライアンス統括部顧客保護推進室室長が登壇した。松野氏は「金融機関におけるサイバー犯罪対策の取組みについて」と題し、同行のサイバー攻撃の被害やその対策としてのインテリジェンス(脅威情報)活用などを話した。
大量のフィッシングメールで被害、危機感高まる
松野氏はまずサイバー犯罪による金融被害の動向を概説した。2005年、2006年ごろから米国でフィッシングによる被害が出始め、1年程度遅れて欧州に飛び火した。また個人を狙ったマルウエア(悪意のあるソフトウエア)による被害が、2008年ごろから欧州で出始めたという。「その後、マルウエアの狙いは個人から法人に移り、マルウエア攻撃が欧州から米国に広がった」(松野氏)。
松野氏は「狙いやすいところをひたすらぐるぐる回るのが犯罪者側の行動」と分析。実際、マルウエアへの対策が進んだことで、最近はまたフィッシングへの揺り戻しがあるとした。
松野氏はハイブリッド型の攻撃も出てきているとも指摘。マルウエアと電話、フィッシングとマルウエアをそれぞれ組み合わせたりする攻撃だ。電話やフィッシングといった、人間の心理の隙を巧みに突いてだます「ソーシャルエンジニアリング」は、「非常にアナログ的な手法だが、かえって防ぎにくい」(同)。マルウエアといったデジタルの犯罪に対してはデジタルによる対応策が有効だが、アナログ的な犯罪は被害者の意識が高まらないと防ぎきれないと松野氏は注意を促す。
日本では、金融業界を狙うサイバー犯罪が2013年ごろから増え始めた(関連記事:「ネット不正送金の真犯人は中国在住、国際連携で追及する」、警察庁の逢阪氏)。三菱東京UFJ銀行では2014年1月から2月にかけて、インターネットバンキングの不正送金の被害が大きかったという。同行からの連絡だと偽り、IDとパスワードなどを盗み取ろうとするフィッシングメールが大量に出回ったのだ。「大きな被害を受けた。これで(会社として)危機感が芽生えた」(同)。
松野氏らは、被害の軽減に向けていくつかの手を打ち始めた。一つはフィッシングにだまされないようにする対策だ。
