1. HOME
  2. 刊行物
  3. 金融ITフォーカス
  4. カテゴリから探す
  5. 金融トレンド
  6. サイバー攻撃の対象は、提供者から利用者へ

サイバー攻撃の対象は、提供者から利用者へ

2013年2月号

NRIセキュアテクノロジーズ 木内雄章

金融システムとインターネットの10年

 1990年代、インターネットの爆発的普及に伴い、オープンなネットワークを利用したビジネス拡大が起こった。この環境変化を受けて、それまで基幹システムや専用回線を中心としたクローズドなネットワーク中心にビジネスを展開していた金融機関もインターネットバンキングをはじめとするオープンなシステムの需要に直面し、情報セキュリティ技術を正しく理解して駆使する必要性が生じた。それから十数年が経過し、情報セキュリティ対策に関しては目覚しい高度化が行われ、金融機関のシステムは先進的堅牢性を実現しようとしてきた。しかしながらセキュリティリスクがゼロになる日は来ていない。

脅威の変遷

 攻略がより困難になっていく金融機関のシステムを前に、攻撃者は利用者環境に標的を移していった。犯罪組織を中心とした攻撃者はフィッシングサイトやマルウェアを利用した無作為攻撃の成功体験を重ね、得られた情報を現金化する洗練された闇市場を形成、今や攻撃がビジネス化するに至っている。そこでは具体的なインターネットバンキングシステムの実装情報も取り扱われており、攻撃コードを標的システム毎にカスタマイズすることで、より巧妙に利用者を欺くようになった。用いられたのは、閲覧している画面を利用者の端末上で改竄したり、送受信情報を窃取したりするマン・イン・ザ・ブラウザ攻撃であり、その機能を搭載したマルウェアである。この攻撃はこれまでの対策の盲点を突くように設計されており、オンラインでの利用者からの取引トランザクションは汚染された可能性を念頭におかざるを得なくなった。

近年の動向と今後

 近年では海外を中心に、マルウェアを利用した、金融業界のシステムに対するかなり大規模な攻撃が観測されており、そこでは利用者を欺きリアルタイムに金銭を不正取得する悪夢のような先進的攻撃が展開されている(Operation High Roller等)。これまで海外での先進的攻撃が国内で発生する場合、半年から1年程度遅延する傾向があり、これから起こることに備えるためにも国内に限らず欧米の規制当局やガイドラインの動向にも注目してゆきたい。これからの10年、安全対策やリスク管理は、自由化や国際化による競争激化に勝つために、ますます重要な要素となるのではないだろうか。

※組織名、職名は掲載当時のものです。

印刷用PDF

Writer’s Profile

木内雄章

木内雄章Takenori Kiuchi

NRIセキュアテクノロジーズ
テクニカルコンサルタント
専門:セキュリティ診断

この執筆者の他の記事

木内雄章の他の記事一覧

このページを見た人はこんなページも見ています