はじめに

フィンテックは、金融とITの融合であり、その展開は金融ビジネスと先進技術の融合という形で進行することとなります。そして、このことは金融ビジネスが特に重視しなければならないセキュリティ面においても文字どおり金融ビジネスと先進技術の融合が必要となることを意味します。

そこで、以下ではフィンテックを金融セキュリティの側面からみてみたいと思います。
フィンテックと金融セキュリティの脅威との関係については、相反する2つの要素があります。

①FinTechは金融セキユリテイヘの脅威を高めるのか

フィンテックが、伝統的な金融の姿を変えるポテンシャルを持つまでに発展してきた背景には、顧客にパソコン、スマホ、タブレット端末等の普及が進んで、その結果、さまざまなチャネルを通じて金融商品、サービスヘのアクセスが、いつでも、どこからでも、より速く行うことが可能となるユビキタスの環境が、顧客の強いニーズとなって現れたことがあります。そして、フィンテックは、金融ネットワークのオープン化を軸としてさまざまなテクノロジーを駆使しながら顧客のニーズに応えようとしています。

しかし、こうした流れは、金融にとって最も重要であるセキュリティの維持、拡充に重大な課題を提起します。すなわち、顧客ニーズに応えて金融ネットワークのオープン化を進めれば進めるほど、金融システムが外部からのサイバー攻撃にさらされるリスクが高まることになります。

サイバー攻撃の手法もまさしく先進的なITをフルに活用して急速に多様化、複雑化しています。このように、フィンテックは、顧客のさまざまな金融ニーズにきめ細かく応えるポテンシャルを持つー方で、金融のセキュリティにとって脅威となるサイバー攻撃のリスクを高める恐れがあることに十分留意する必要があります。·

ネットワークと外緑部からのサイバー攻撃

サイバー攻撃は、外緑部からネットワークを介して行われ、これが金融機関のシステムに波及するリスクがあります。ここで外緑部とは、ITに対するリスク管理の内容や度合いが異なる組織や人、システム、業務などがつながる境目に当たる部分をいいます。

すなわち、金融業界とフィンテックベンチャー業界がシステム面での連携を深める過程で、フィンテックベンチャーのリスク管理が不十分である場合には、システムに対するサイバー攻撃は、フィンテックベンチャーサイドのシステムを入り口としてそこから侵入して、既存の金融機関のシステムヘ攻撃する恐れがあることが十分考えられるところです。

金融機関に対するサイバー攻撃は、フィンテック出現前からもさまざまな対応策が打たれてきましたが、フィンテックの進展から一段とサイバーセキュリティの重要性が高まったことは否定できません。

②フィンテックは金融セキュリティヘの脅威を抑制することができるのか

それでは、フィンテックが持つサイバー攻撃のリスクを抑止しながら、フィンテックが持つメリットを最大限発揮するためにはどうすればよいでしょうか。

その鍵は、フィンテックが持つテクノロジーをサイバーセキュリティに活用することにあります。たとえば、伝統的な本人認証の方法には、パスワードによる認証がありますが、パスワードは他人に盗取されたり本人が忘れたりするリスクがあります。これに対して、フィンテックが持つテクノロジーを使ったバイオメトリクス認証(生体認証)は、各個人に固有の指紋、手のひら、指の静脈パターン、虹彩等の特徴を用いて個人を自動的に認証、識別することができ、パスワード認証の欠点をカバーすることができます。

無差別型攻撃と標的型攻撃

サイバー攻撃(cyber attack)は、ネットワークに不正に侵入してコンピュータやネットワーク機器を機能不全にしたり、コンピュータ上に格納されているデータを搾取、破壊、改ざん等を行ったりする攻撃です。サイバー攻撃は、無差別型攻撃と標的型攻撃に大別することができます。

無差別型攻撃

無差別型攻撃は、ターゲットを特定せずに不特定多数の個人、企業、組織を対象とするサイバー攻撃です。具体的には、ウイルスや迷惑メール(スパムメール、バルクメール)を無差別に送信して、受信者側のシステム障害等のトラブルを発生させるサイバー攻撃です。無差別型攻撃は、愉快犯的な性格を持つケースが少なくありません。

標的型攻撃

標的型攻撃は、特定の企業、組織を標的としたサイバー攻撃です。具体的には、特定の企業、組織の機密情報の窃取、システム障害、機能停止、webサイトの改ざん、アカウントの乗っ取り、不正取引等を目的とするサイバー攻撃です。標的型攻撃は、金銭や知的財産等の不正取得の目的を持っています。

以下では、代表的な標的型攻撃のAPT攻撃、ゼロデイ攻撃、電磁波盗聴についてみることにします。

APT攻撃とは

APT攻撃 (Advanced Persistent Threat ) は特定のターゲットに対して行われる標的型攻撃のー種で、ターゲットとなった企業が新たな対策をとる都度、ターゲットの企業専用にカスタマイズした手法を使って執拗に攻撃を続けて、企業の対策を潜り抜けながら漸次、目的とする情報等に迫るタイプのサイバー攻撃です。

APT攻撃は、犯罪シンジケートにより緻密に計画され、公的機関やグローバル企業をターゲットにして、安全保障や経済に関わる機密情報を窃取する目的で実行されることが少なくありません。このため、数あるサイバー攻撃のなかでも、APT攻撃は最も危険であり、またその対策が困難なものである、とされています。

APT攻撃の例としては、2009年央から始まったOperation Auroraと呼ばれるケースgが有名です。このケースでは、Googleを筆頭にして数十社の大企業がターゲットとされました。

APT攻撃の特徴

APT攻撃の最大の特徴は、その攻撃が執硼に続けられて、じわじわとシステムの深部に侵入して機密情報等を詐取することです。その攻撃は、数カ月から数年にわたって行われます。APT攻撃は、次のように3段階法をとります。

①侵入:攻撃者がソーシャルエンジニアリングを使ってマルウェア(不正、有害なソフトウェア)を企業内部に送り込むステップ。なお「ソーシャルエンジニアリング」は、ID、パスワードや機密情報を物理的手段によって獲得して、ネットワークヘ不正侵入する手法です。

②進化:企業のパソコンはウイルスに感染したボットとなり、企業の内部から外部ヘwebアクセスをしたと装って攻撃者のサーバーに接続されます。

なお「ボット」はロボットの略で、攻撃者の指令に従ってあたかもロボットのようにサーバーからファイルを盗み出したり、他のコンピュータやネットワークヘ攻撃したりする等、有害な動作を行うプログラムです。

③攻撃:攻撃者のサーバーに対する指令により、企業内部の機密情報を外部に送信する等の攻撃を行います。

APT攻撃は、既存の攻撃手法を組み合わせて、一見すると通信がごく正常であるかのように装い、攻撃されている事実の検知と対応策を講じることがきわめて困難となるように工夫が施されています。

ゼロデイ攻撃とは

金融機関の顧客情報や取引データの窃取を狙った標的型攻撃では、ソフトウェアの未修正、未発表のセキュリティの脆弱性を悪用したゼロデイ攻撃(zero-day attack)がみられます。

このゼロデイ攻撃は、プログラムに重大なセキュリティ上の脆弱性があることを見出して、開発者からその脆弱性の修正プログラムが提供される前(ゼロデイ)に攻撃を加える手法です。攻撃者は、いち早くウイルス、ワームを開発してこれをメールで直接送り込むほかに、webサイトにウイルス、ワームを埋め込んでユーザの聞に感染を広げる攻撃を行うケースもみられます。

このように、ゼロデイ攻撃は、開発者からユーザに脆弱性に対応する手段が提供される前に行われるため、防御対策を講じることは難しい、とされています。

電磁波盗聴とは

パソコンやネットワークケーブル、USBコネクタ等の周辺機器が発するごく弱い電磁波から、データを盗取する攻撃で「テンペスト」と呼ばれることもあります。パソコン本体の電磁波がたとえ遮断されていても、キーボードやディスプレイ等の周辺機器が発する微弱の電磁波を数十~100メーターの距離から特殊装置を使用して傍受、盗取する、といった手口です。

サイバー攻撃の手口

サイバー攻撃の手口は、5つのタイプに分類することができます。

webサイト閲覧によるウイルス感染(情報窃取)

ユーザが改ざんされたwebサイトを閲覧すると、ウイルスヘの感染が発生して、認証情報等の窃取とバックドアの設置が行われます。ここで、「バックドア」とは、攻撃者がサーバーに一度侵入に成功した後に、何度も侵入するために仕掛けておく秘密の入口をいいます。そして、窃取された認証情報の利用により、攻撃利用基盤が拡大します。

標的型メール攻撃(情報窃取)

ウイルスがついたメールを特定組織に送信して、それをユーザが開封するとサーバーヘのバックドアが設置される仕組みです。この結果、情報システム内の情報が漏えいすることになります。こうしたサイバー攻撃は、特定組織を目標としたメールの送信によることから、「標的型メール攻撃」と呼ばれています。

標的型メール攻撃のメールの内容は、虚偽の規定改正を連絡する等、業務上の連絡を装う、といったようにますます巧妙なものとなってきています。そして、メール、CD-ROM、USBメモリ等を介して不正プログラムをパソコンに侵入させたうえで、長期間に渡り情報の窃取が発生します。

web改ざんによる誘導

ユーザーがサイトにアクセスすると、別の無関係なサイトヘと誘導される仕組みです。誘導先サイトは、ウイルスに感染しているサイトです。

媒体介在ウイルス感染(情報窃取)、制御系システム攻撃

USB媒体等に混入したウイルスが情報システムに侵入して、システム内へのネットワークに感染が拡大し、またサーバヘのバックドアが設置されます。この結果、ネットワーク、サーバー障害の発生と、システム内の情報の窃取が発生します。

Dos攻撃、DDoS攻撃

Dos攻撃は、ネットワークを通じてコンピューターや通信機器等を対象とする攻撃手法のー種です。具体的には、大量の接続要求や大量の不正データを送信して相手方のサーバ等の負荷や通量を増加させ、サーバ等がサービスを提供することが不可能となる状態にするサイバー攻撃です。これによりシステムが機能不全となります。

DDoS攻撃は、Dos攻撃が分散する形で多元的に行われる手口のサイバー攻撃です。すなわち、複数のコンピューターがサーバー等に対して一斉に接続要求を送信して負荷や通量を増加させて、その結果、サーバ等を機能不全とします。このDDoS攻撃は、最近よくみられるサイバーインシデント(サイバー攻撃による障害)の1つです。

たとえば、ビットコインを要求する脅迫メールを金融機関に送りつけて、この要求を呑まなければ継続的にDDoS攻撃を行う、と脅迫するケースが発生しています。具体的には、金融機関の問合せ窓口等のメールアドレスに対して第1通目の脅迫メールが送られてきます。その内容は、DDoS攻撃の開始を告げるとともに、24時間以内に数十のビットコインを支払えばこの攻撃は1時間で終えるが、さもなければ攻撃を継続するという内容です。そして、金融機関がこれを無視した場合には24時間後に第2通目の脅迫メールが送られて、それは再び、24時間以内にビットコインを支払わなければ支払うまで攻撃を続ける、といった内容です。

そして、こうしたDDoS攻撃を受けて実際にネットバンキングやネットトレーディング等の業務に支障が生じるケースも発生しています。