金融機関を狙うサイバー攻撃は連鎖的な被害を生む その原因とは？：Cybersecurity Dive

2023年は金融機関を狙う悪質なサイバー攻撃が活動が数多く観測された。そして、この攻撃は複数の金融機関で連鎖する可能性がある。その原因とは。

[David Jones，Cybersecurity Dive]

　保険企業のFidelity National Financialへのランサムウェアらしき攻撃は金融サービス業界を標的とした脅威活動が活発化している中で発生した。

　所有権に関する保険を扱う企業として、Fidelityは米国企業大手の1社だ。2023年11月20日（現地時間）の週に、システムにアクセスした脅威グループに認証情報を盗まれた後、同社はシステムの一部をシャットダウンした。

　Fidelityはこの攻撃による当面の財務的影響を評価している。このインシデントは、中国工商銀行の米国取引部門に対するランサムウェア攻撃の数週間後に発生した（注1）。

金融機関を狙う悪質なサイバー活動は連鎖する　その理由は？

　その影響は深刻で、米国国債市場の取引に影響を与えた。

　財務省の金融機関担当補佐官であるグラハム・スティール氏は、2023年11月のはじめにFederal Insurance OfficeとNYU Sternによって開催された「ボラティリティ・リスク研究所会議」の中の「致命的なサーバリスク」におけるスピーチで（注2）、「2023年にランサムウェアが金融業界の業務を中断させたのは初めてではない」と述べた。

　スティール氏は、2023年1月に金融データ会社IONがランサムウェア攻撃を受け、先物取引に関する業務が数日間にわたって中断したことに言及した（注3）。

　最近発生した別の事件では、全米第3位の住宅ローンサービス企業が被害を受けた。Mr. Cooper Groupは2023年10月末に、外部のハッカーにコンピュータシステムの一部にアクセスされ、複数のシステムをシャットダウンした（注4）。

　債権格付け事業を営むMoody'sの報告書によると、金融機関に対する悪質なサイバー活動は、複数の理由から連鎖的な被害をもたらすリスクがあるという。

　「これらの金融機関は毎日数兆ドルもの資金を扱い、高度に連携しており、第三者のベンダーのさまざまな技術に依存している」とMoody'sは述べている。

金融業界はビジネスにITを取り込むプレッシャーにさらされている

　ソフトウェア企業であるTrustwaveが2023年10月に発表した報告書によると（注5）、特に米国の金融機関は悪質なサイバー活動に対して非常に脆弱（ぜいじゃく）であることが示されている。

　Trustwaveの調査によると、侵害を報告した金融サービス企業の半数は米国にあり、次いで9％はインドにある。ロシアとメキシコにはそれぞれ7％の企業があり、同率で第3位だった。

　TrustwaveのCISO（最高情報セキュリティ責任）のコーリー・ダニエルズ氏によると、サイバー攻撃の継続的な脅威はこれらの企業に大きなプレッシャーを与えているという。

　ダニエルズ氏は「金融のように競争の激しい業界では、ビジネスにテクノロジーを取り入れて進化させなけらばならないというプレッシャーが常にあり、サイバープログラムの迅速な進展が求められている。それができなければ、攻撃者が利用できる予想外の脆弱（ぜいじゃく）性が発生する」と指摘した。

金融業界を狙うランサムウェアグループたち

　金融サービス業界は幾つかの有名な脅威グループの格好の標的となっている。

　Trustwaveによると、金融サービス企業に対するランサムウェアインシデントの約40％は脅威グループの「Clop」に関連していた。一方で「LockBit」「AlphV/BlackCat」「Royal」「Black Basta」などの他の主要な脅威グループも金融サービス企業を標的にしている。

　サイバーセキュリティ事業を営むCheckmarxの研究者は、2023年7月に金融サービス業界に対するオープンソースソフトウェアのサプライチェーン攻撃としては初めてと思われるものを公開した（注6）。

　Checkmarxによると、サイバー攻撃者は「LinkedIn」における偽物のプロフィールを使用し、カスタマイズされたコマンド＆コントロールサーバ（C2サーバ）を作成したという。

　規制当局がここ数カ月、州および連邦レベルでサイバーセキュリティコンプライアンスを厳格化する中、脅威の活動が活発化している。

　米連邦取引委員会（以下、FTC）は2023年10月にセーフガードルールを改正し、給料担保金融業者や住宅ローン仲介業者、自動車ディーラーを含むノンバンクの金融機関に対して、500人以上の顧客データの情報漏えいに関する報告を義務付けた（注7）。

　FTCによると、情報漏えいは事件発生後30日以内に報告されなければならない。

　ニューヨーク州金融サービス局（以下、NY DFS）も行動を起こしており、2023年11月28日にFirst American Title Insuranceと100万ドルの和解を成立させ（注8）、同社が独自に開発した「EaglePro」というソフトウェアの脆弱性を悪用し、何億件もの非公開の顧客文書を流出させたという疑惑を解決した。

　2023年11月のはじめ、NY DFSは既存のサイバー規制を改正し、サイバーガバナンスとトレーニングの大幅な強化を義務付けた。また、規制対象企業に対し、ランサムウェアに関する支払いを報告するよう求めた。

　NY DFSは2023年11月のメモで規制対象企業に対し、CitrixBleedの重大な脆弱性を緩和するよう警告した（注9）。また、ここ数週間で複数の攻撃に関連しているセッションハイジャックの脅威についても警告している。

（注1）Chinese banking giant’s US arm hit by ransomware attack（Cybersecurity Dive）
（注2）Remarks by Assistant Secretary Graham Steele at the Federal Insurance Office and NYU Stern Volatility and Risk Institute Conference on Catastrophic Cyber Risk and a Potential Federal Insurance Response（U.S. DEPARTMENT OF THE TREASURY）
（注3）Cleared Derivatives Cyber Event（ION）
（注4）Cyberattack hits Mr. Cooper, blocks millions of mortgage payments（Cybersecurity Dive）
（注5）Trustwave SpiderLabs Uncovers Critical Cybersecurity Threats Facing Financial Services Industry（Trustwave）
（注6）First Known Targeted OSS Supply Chain Attacks Against the Banking Sector（checkmarx）
（注7）FTC Amends Safeguards Rule to Require Non-Banking Financial Institutions to Report Data Security Breaches（FTC）
（注8）NY reaches $1M breach settlement with First American Title Insurance（Cybersecurity Dive）
（注9）Industry Letter（NEW YORK STATE）

原文へのリンク