フィンテック企業を狙うサイバー脅威 判明した主な侵入経路とは？：セキュリティニュースアラート

SecurityScorecardは、世界の主要フィンテック企業250社を対象にした調査レポートを公開した。調査によると、全ての侵害のうち41.8％がサードパーティーベンダーに起因していることが明らかとなった。

[後藤大地，有限会社オングス]

　SecurityScorecardは2025年7月1日、世界のフィンテック企業を対象としたサイバーリスク評価に関する最新レポートを発表した。世界の主要フィンテック企業250社のセキュリティ体制を調査した結果、全ての侵害のうち41.8％がサードパーティーベンダーに起因していることが明らかとなった。

　調査対象企業は決済やデジタル資産、ネオバンク、ファイナンシャルプランニング、インフラ提供など、幅広いフィンテック分野にわたる企業群が選定され、評価されている。

フィンテック企業を狙うサイバー脅威　判明した主な侵入経路とは？

　同レポートでは、55.6％の企業がSecurityScorecardが定めた独自のセキュリティスコアで評価「A」を取得しており、全業界で見ても高い水準となっている。侵害を公表した企業は18.4％で、そのうちの28.2％は複数回のインシデントを経験していた。

　侵害原因の内訳も注目だ。サードパーティーが関わっているケースが41.8％、フォースパーティーが11.9％だった。サードパーティー起因の侵害のうち63.9％はテクノロジー製品やサービスが関係していた。主な侵入経路としては、ファイル転送サービスやクラウドストレージが挙げられている。多く確認されている脆弱（ぜいじゃく）性は「アプリケーションセキュリティ」と「DNSヘルス」で、全体の46.4％がアプリケーションセキュリティで最低評価となっていた。

　SecurityScorecardのセキュリティ専門チーム「STRIKE」は、こうした調査結果を受けてフィンテック業界に次のような対策を推奨している。

• サード／フォースパーティーリスクの管理強化：　支出額や業務重要度だけでなく、過去の侵害履歴に基づいて分類し、契約書にインシデント報告義務を盛り込むことで連鎖的リスクを軽減する
• 共有インフラの安全性確保：　ファイル転送サービスやクラウドストレージ、顧客コミュニケーションツールは、サードパーティー起因の侵害の主な侵入経路となる。これらの安全性を定期的に監査し、パートナー企業に対し安全な実装手順の実証を求める
• アプリケーションセキュリティとDNSの対策強化：　フィンテック企業の約半数がアプリケーションセキュリティのスコアで最低スコアを記録した。安全でないリダイレクトストレージの誤設定やSPFレコードの未整備など基本的な不備を早急に是正し、顧客用アプリケーションの保護を優先することが推奨される
• 認証情報保護の徹底：　クレデンシャルスタッフィング攻撃やタイポスクワッティング攻撃は多くの企業に被害をもたらしている。ユーザーを保護し、クロスプラットフォームの侵害を防ぐには多要素認証（MFA）の適用や認証情報の再利用の監視、なりすましドメインの早期削除が不可欠となる
• 繰り返される侵害への対応強化：　複数回の侵害を経験したベンダーの新規契約および契約更新時に厳格な審査を推奨する

　SecurityScorecardのSTRIKE脅威調査・インテリジェンス部門担当SVP、ライアン・シャーストビトフ氏は次のように述べている。

　「フィンテック企業は世界の金融の中核を担っており、1社のベンダーの脆弱性が原因となり、業界全体の重要なインフラに大きな影響を及ぼす可能性があります。こうしたサードパーティーを起因にした侵害は例外ではなく、構造的なリスクを示しています。フィンテック企業においては、これは決済システム、デジタル資産プラットフォーム、金融基幹インフラ全体にわたる運用停止を意味します」