世界の金融機関、年間300倍の攻撃にさらされる KnowBe4が警鐘：セキュリティニュースアラート

KnowBe4は金融業界を対象とした脅威レポートを発表し、AIを利用したフィッシングや認証情報窃取、サプライチェーンの脆弱性など、金融機関が多面的なサイバー脅威にさらされている実態を明らかにしている。

[後藤大地，有限会社オングス]

　KnowBe4は2025年9月2日、金融業界を対象とした脅威レポート「Financial Sector Threats Report」を公開し、世界の金融機関が深刻なサイバー攻撃の増加に直面している状況を明らかにした。

　同レポートは金融機関がAIを悪用した攻撃や認証情報の窃取、サプライチェーンの脆弱（ぜいじゃく）性といった多面的なリスクにさらされており、グローバルな金融システム全体に影響を及ぼす可能性があると指摘している。

世界の金融機関、年間300倍の攻撃にさらされる

　調査によれば、2024年に米国の主要銀行の97％が第三者による情報漏えいを経験し、金融機関を狙った攻撃は前年比109％の増加を記録した。大手金融機関の従業員を対象としたテストにおいては、約45％が不正リンクをクリック、または感染したファイルを開く危険性が高いことが判明している。この結果は、攻撃者が侵入する初期経路として従業員が標的になっている実態を浮き彫りにしている。

　攻撃手法の進化も報告されている。脅威アクターは「FraudGPT」や「ElevenLabs」といった生成AIを利用し、従来よりも精巧なフィッシングキャンペーンを展開している。またランサムウェアの暗号化中心の攻撃から、データ窃取や複数段階の恐喝へと手法を転換していることが確認されている。正規の認証情報が盗まれることで、不正行為の検出が困難になる点が強調されている。ニューヨーク連邦準備銀行のスタッフレポートによると、大手銀行の決済システムが1日停止するだけで、世界中のネットワーク銀行の38％に影響を及ぼす可能性がある。

　同レポートの主な調査結果は次の通りだ。

• 世界の金融サービス企業は他の業種に比べて年間最大300倍のサイバー攻撃を受け、2024年には侵入事例が前年比25％増加している
• 米国の大手銀行の97％が2024年に第三者による情報漏えいを経験。欧州の主要金融企業の100％がサプライヤー経由で情報漏えいを経験し、ベンダーエコシステムの脆弱性が浮き彫りとなった
• 300万件以上のダークWebの投稿の分析結果から、盗まれた正規の認証情報がクレジットカードの窃取件数を上回っていることが判明した。情報窃取型マルウェアの感染試行は2024年に58％増加し、攻撃の68％が電子メール経由だった
• 米国と英国を狙った攻撃が全体の70％以上を占めている。APAC地域ではインドネシア（5.81％）、インド（4.65％）、中国（2.33％）、日本（1.16％）が戦略的に標的とされているが、西欧諸国に比べると攻撃率は低い
• 大手金融機関のフィッシング詐欺ヒット率（PPP）は44.7％に達しているが、包括的なセキュリティ意識向上トレーニングを実施することで、フィッシング攻撃への脆弱性を5％未満に低減できる

　KnowBe4セキュリティ意識向上アドボケイトのジェームズ・マクイガン氏は「攻撃者は金融機関に対し優位に立ちつつある。認証情報を盗む方がランサムウェアよりも効果的であり、検出されずに活動できる。金融機関はセキュリティのギャップを埋め、ヒューマンリスクマネジメントを最優先に据える必要がある」と述べている。

　KnowBe4のレポートは金融業界が直面するサイバー脅威の深刻さを示しており、従業員レベルでのセキュリティ対策強化の必要性が浮き彫りとなっている。