【連載スマートバンキング】サイバーセキュリティの分類と対策

スマートバンキング化におけるサイバーセキュリティの重要性

スマートバンキングとは

スマートバンキングとは、モバイルやデジタルプラットフォームを通じて、銀行で行う決済や取引が行われる仕組みのことをいう。この動きによって、銀行側は顧客によりよいサービスを提供することができ、顧客は利便性を向上させることができる。

一方、デジタルプラットフォーム上でやり取りされる情報が、盗用・破壊・改ざんといったリスクに直面することにもなる。このようなサイバー攻撃は、銀行と顧客双方に甚大な被害をもたらす可能性がある。

銀行は、顧客データや取引データをはじめとするデータを盗まれるだけでなく、サイバー攻撃が行われることにより、銀行にとって致命傷ともなりうる「信用」を失う可能性がある。顧客は自分に関する情報が盗用されるだけでなく、自分の意志に関係なく不正取引の一端を担ってしまうこともある。

サイバー攻撃の分類

サイバー攻撃とは、コンピュータシステムやインターネットなどを利用して、標的のコンピュータやネットワークに不正に侵入してデータの詐取や破壊、改ざんなどを行ったり、標的のシステムを機能不全に陥らせることである。内部犯行等の場合、合法的に侵入することもありうる。

サイバー攻撃は、いたずらや嫌がらせといったものから、企業への脅迫を主目的とした計画的なものになってきている。以下では、サイバー攻撃の中でもポピュラーであり、銀行にとっても脅威となりうる「DoS/DDoS攻撃」「標的型攻撃」「バンキング・トロジャン」の3つを取り上げ、解説していく。

分類① DoS/DDoS攻撃

攻撃目標であるサイトやサーバーに対し、大量のデータを送信してダウンさせる攻撃をDoS攻撃(Denial of Service attack)という。

DDoS攻撃(Distributed Denial of Service attack)は、DoS攻撃の進化版といえるもので、複数のマシンをハッキングした後にそれらを利用して一斉にDoS攻撃を仕掛ける手段である。DDoS攻撃は複数のマシンを使用するため、対象により大きな負荷をかけることが可能である。銀行は特にミッションクリティカルであるシステムが多く、DoS/DDoS攻撃が成功すると大きな影響が出てしまう。

2017年には、先物取引業者であるコムテックスがハッカーグループ「Armada Collective」を名乗る攻撃者から、金銭を要求する脅迫メールを受信し、直後にDDoS攻撃が発生した。

DoS/DDoS攻撃はハッキングを隠蔽するためのおとりとしても使われる。銀行がDDoS攻撃の対応に追われている隙を突いて、ハッキングが行われる可能性がある。

分類② 標的型攻撃

顧客や取引先を装い、マルウェアを感染させることを目的としたメールを送信するなどして社内に侵入し、遠隔操作により機密情報の窃取をはじめとする不正行為を標的型攻撃という。DoS/DDoS攻撃と違い、感染していることに気づきにくく、より組織的かつ巧妙に行われる傾向がある。

日本国内では2015年に日本年金機構の職員が利用する端末が標的型攻撃によってウィルスに感染し、年金加入者に関する情報が約125万件流出するという事件があった。

モノのインターネット（IoT）化が進んでいる現在、標的型攻撃によりインターネットにつながれている機器がすべてダウンしてしまうと、単なる情報流出にとどまらない被害が出る可能性がある。銀行はほかの業界に比べてIoT化が特に進んでいるわけではないが、今後IoTを活用していく際には特に注意すべきである。

分類③ バンキング・トロジャン

スマートバンキング化の一部に、オンラインで出金・入金ができるオンラインバンキングがある。このオンラインバンキングをメインターゲットとしたハッキングが「バンキング・トロジャン」である。個人のみならず、法人が被害を受けるケースも拡大している。

ユーザがオンラインで振込みや入金をするために、オンラインバンキングサイトにアクセスした際、偽のWebサイトに誘導し、決済に必要な情報を盗み取るものが代表的な例としてあげられる。ユーザは知らぬ間に決済情報を盗まれてしまい、ハッカーはその情報を使ってユーザの口座から不正に送金することが可能となる。仮想通貨取引を狙ったハッキングも行われており、ネット上での金融取引が活発になるにつれて、被害が拡大するものであるといえる。

▼関連記事 その対策はもう危険!?最新のサイバー攻撃とセキュリティ対策まとめ

金融機関におけるサイバーセキュリティ対策とテクノロジー

上記のようなサイバー攻撃を防ぐために、金融機関は対策を急いでいる。本記事では「生体認証」および「機械学習」の2つを取り上げる。

テクノロジー① 生体認証

機密漏洩や不正取引に有効なテクロノジーとして生体認証がある。生体認証は、バイオメトリクス認証とも呼ばれ、生体の一部や動作の特徴を使って本人を識別する認証方式のことである。

指紋等を使って取引を認証していくため、パスワードを忘れてしまった際の再発行等が不要になり、顧客の利便性は上がる。また、パスワードを盗まれる心配もなく、安全性も非常に高い認証方針である。日本でも、みずほ銀行がATMにおける本人確認に指静脈認証を導入している。

海外の企業では、顔認証を導入している会社もある。USAA（アメリカ軍の軍人、およびその家族を対象とした金融業、保険業を専門とする会社）やHSBCが具体例である。ほかにも、声紋認証や虹彩認証など、さまざまなタイプの生態認証が実用化され始めている。

フロスト&サリバンでは、金融サービスを対象とした生体認証市場の規模が、2022年には5,764百万ドルに達すると予測している。

世界中の金融機関で、生体認証はさらに広がりを見せると考えられている。オンラインバンキング用のサイトへのログインや、各トランザクションでの安全性を高めるため、指紋認証や顔認証、生体認証等が活用され、顧客の情報流出や不正利用の危険性が減じられると考えられる。

テクノロジー② 機械学習/深層学習

各種ハッキングに対して、今までは各技術者がその内容を分析・把握した上で1件ずつ対策をしていく必要があった。しかし、攻撃内容が高度化し、さらに対応しなければいけない件数も増えるにつれて、セキュリティを突破されてしまうケースも多くなってきた。

そのような状況を改善するため、サイバーセキュリティ企業は機械学習を活用するようになってきた。MITの人工知能研究所がサイバー攻撃検知システムの開発に成功するなど、脆弱性の検知や不正アクセスのあぶりだしを迅速にするように工夫を重ねている組織が存在している。

日本でも、三井住友ファイナンシャルグループが機械学習を発展させた深層学習を用いてクレジットカードの不正検知の精度を上げる検証を行った。深層学習のアルゴリズムを使う前は、「不正利用の疑いがある」とされた中で実際に不正利用されていたものは5%に過ぎなかったが、この検証ではその割合を約90%まで大幅に引き上げることに成功した。

サイバーセキュリティと金融機関の今後

スマートバンキング化が進み、モバイル経由で多数の取引ができるようになってくると、その分データ量が増えていく。データの量が増えるにしたがって、銀行は顧客のニーズがつかみやすくなり、より顧客本位の商品開発やマーケティングを展開することができるようになる。

しかし、データを悪用しようとする組織にとっても魅力的である。銀行のシステムをハックすることができれば、その情報を活用して自らの口座に足がつかないような形で振込みを実施したり、盗んだデータを影で売却する等が可能になる。データの量が増えるにつれて価値が高まり、サイバー攻撃をするためのモチベーションも向上しているのだ。

それを防ぐためにも、サイバーセキュリティの強化は急務となっている。キャッシュレス化やモバイル化を迅速に推し進め、スマートバンクになろうとしている銀行にとっては特に避けては通れない道である。現在は、パスワードやID、パスポートやマイナンバー、各種公的書類によって認証がなされているが、今後は生体認証等のテクノロジーも活用されることが考えられる。

金融機関のセキュリティの堅牢性は、他業界に比べてより高いレベルに保たれる必要がある。実際のモノを扱うわけではないため、一度情報が流出すると、自らのみならず多数のステークホルダーに大きな影響を与えてしまい、最悪のケースでは金融市場が機能不全に陥る可能性もあるからだ。

そのようなプレッシャーの中で開発したサイバーセキュリティテクノロジーは、自行のみならず他行に展開したり、他業界へソリューションとして提供するというビジネスにできるかもしれない。データを用いて金融サービスを提供する銀行は、ただ資金のやり取りの仲介人としてではなく、データ活用の担い手として新たな役割を付与される日も近いのではないだろうか。