サマリ

・2008年7月から2020年12月末までの集計期間において、国内銀行業者130社が所有するドメインアカウントの累計漏洩件数は7,978件。内、2019年の漏洩流出件数5,795件が突出。
・2019年の突出した漏洩件数には超巨大な漏洩情報群Collection#1の流出が関係していると推測される。
・近年被害が増大している個人口座不正送金に比べて、従業員の情報漏洩に起因するインシデントは少ない。
・業界別に見た場合、国内銀行業界は情報セキュリティレベルが高いが、情報漏洩後のフォローアップ体制は未だ課題が存在する。これは日本の産業全体に共通する課題である。

SP Intelligence Reportについて

サイバーセキュリティサービスを通じてデジタルコミュニケーションを支援する株式会社ソースポッド（以下ソースポッド）は、日本のサイバーセキュリティ現況を定期的に調査しレポートを配信しております。
近年サイバーセキュリティ関連インシデント件数は増加の一途を辿っており、プライバシーの侵害や金銭的被害などの実被害に至るケースも同様に増加しています。
この情報漏洩定期レポートは、過去のインシデントの被害やそのインシデントに起因すると考えられる情報流出件数を検証材料に、個人情報を取り扱う事業者全てのセキュリティ意識醸成を啓蒙するための自主的な取り組みとなります。情報社会全体の安全性向上を目的として、我々を取り巻く状況の把握に役立てれば幸いです。

調査方法

OSINT (Open Source INTelligence)データをもとに、以下の条件で漏洩件数を年別に集計。
なお、抽出にあたってはアカウント数の抽出のみを目的としているため、サブドメインを含む具体的なドメインの取得に留め、個別アカウントについては取得していない。

①抽出対象
日本国内の大手銀行、地方銀行、信託銀行、信用組合、信用金庫、ネット銀行が保有するドメインアカウント

②前提条件
・調査アカウント対象は、個人アカウントではなく、組織アカウントとする。
・組織アカウントの定義は、以下の通りとする。
・国内で銀行業を営む企業のco.jpドメイン（サブドメイン含む） 
　　※ただし弊社が捕捉しているドメインに限る
※信販会社のドメインは含んでいない
・漏洩チェック範囲は、ダークウェブを含むインターネット上に公開され、不特定多数が確認できるものとする。
・漏洩チェック期間は、2008年7月から2020年12月末までとする。
・漏洩取得内容は、ID(メールアドレス)とパスワードが漏洩している年月と漏洩数のみとする。
　※漏洩年月・数以外の情報は取得できない独自のチェックシステムを利用している。
・漏洩を判別する情報は、IDとなるメールアドレスのドメイン名で実施するものとする。
　※漏洩と判別されたアカウントが実際使用されるアカウントと同一性または実在しているかは不明だが、同時期かつ同場所で漏洩している全く同様のアカウントは、重複を排除している。

調査結果

概況

2008年7月から2020年12月末 までの累計漏洩件数は7,978件。調査対象期間の中では、2019年の漏洩流出件数5,795件が突出している。2番目に2020年の1,095件が続き、2012年の399  件、2013年の313件がさらに続く。上記のことから、アカウント漏洩の拡大傾向が読み取れる。
最大の流出件数となった2019年のインターネットセキュリティ状況としては、既に発表した業界別情報漏洩レポート  *1)と同じく、2018年の年末にダークウェブ上に流出し、そして2019年の年初にハッカーフォーラムで情報発信によりその存在が知られることとなったCollection#1 による影響が関係している。総容量87ギガバイト、12,000のファイルから成る7億7300万件のメールアドレス、2,100万件のユニークなパスワード、27億件の有効なメールアドレスとパスワードの組み合わせという、膨大な個人情報がインターネットに流出した本件は、世界中のサイバーセキュリティ業界を震撼させる大事件となった。

銀行業界は『国内外の顧客の預金を扱う』という業務特性から、ハッカーにとってはリスクに対する期待報酬が高いという点があり、サイバー攻撃の標的となりやすい。  業界全体としても、この高いリスクを鑑みて、厳重なセキュリティ対策を採用している傾向があるが、それにも関わらず、多数のアカウント漏洩が発生していることが確認できる。

金融機関のセキュリティにおいて、業務端末の回線とインターネット回線は分離されているのが一般的であるが、今日のクラウド業務サービスの普及などによって、インターネットアクセスの機会が増えると予想され、さらなるセキュリティの強化や対策は必須となる。

調査対象期間内で発生したセキュリティインシデント

現在の銀行業界全体のセキュリティインシデントは、顧客側のアカウント漏洩による不正送金が多くの割合を占める。
前述のように、銀行業界はセキュリティの強化や対策を行っているが、顧客のアカウントを不正に入手した不正送金は年々被害が増大している。国を上げた注意喚起が行われているものの、増大傾向は変わっていない。

一方、事業者側のアカウント漏洩にも注意を払う必要がある。
金融機関における、事業者側のアカウント流出でもっとも懸念されるのは、複数のレイヤーで作られたセキュリティの1つが破られてしまうことにより、重大なインシデントの発生可能性を一段階上げてしまうことである。
通信回線を分離していても、以下のようなインシデントの発生可能性は残る。

・意図せぬ相手へのe-メールの共有 
・Emotetなどのマルウェアによるセキュリティホールを通じた不正アクセスで、同一ネットワークに存在する機密情報への不正アクセス
・利用しているSaaSシステムの設定ミスによる、関係者以外が機密情報へアクセスできる状態
・利用していたSaaSサービスへの不正アクセスによる、エンドユーザーの情報流出

実際に、業界の厳重なセキュリティを突破して被害をもたらしたケースが、本調査対象期間に以下のように発生している。

■2012年3月　銀行職員のPCが標的型メールによりウイルス感染。メールの内容が流出した可能性   
■2016年11月 投資や融資関連事業を行う銀行業者で不正アクセス。債務者の個人情報が流出した可能性
■2021年2月　銀行業者グループのECサイトに不正アクセス。商品購入情報を含む個人情報が流出した可能性

先述の通り、銀行業界は、ハッカーにとってどこよりも金銭的報酬が期待できる業界のため、サイバー攻撃の標的となりやすい。そのため、顧客のアカウント漏洩だけでなく、従業員のアカウント漏洩にも 細心の注意を払う必要がある。

考察

銀行業界は、『国内外の顧客の預金を扱う』という業務特性から ハッカーの標的としては価値が高く、サイバー攻撃の標的となりやすい。それゆえ業界は全体的に高度なセキュリティ対策を講じている。

現在の銀行業界全体のセキュリティインシデントとしては、顧客側のアカウント漏洩による不正送金が大きい多くの割合を占めており、事業者サイドでのインシデントは報告件数が少ない。
しかし、ハッカーの標的としての価値と、 実際に、事業者側から漏洩したアカウントを悪用したことによるインシデントが発生していることを踏まえると、今後も被害が増大する可能性は大いに考えられる。

このような状況下で漏洩したアカウント情報を放置しておくことは、IPアドレス偽装やその他の手段と組み合わせたサイバー攻撃によって、リスクを高めることになり、適切な対策が必要となる。

そのため、情報漏洩を防ぐための意識醸成、予防保全措置といった防壁の設置と合わせて、それでも流出した場合の、フェイルセーフシステムの構築が必要であると言える。具体的には、悪意を持ったハッカーの手に秘匿情報が渡る状態をリアルタイムに察知し、それらが悪用される前に無価値化処理を行うことが必須であると言える。

対策

年々進化する攻撃に対し考えられる対策としては、漏洩防止体制と合わせて、情報が漏洩したケースを想定したフォローアップ体制の準備が非常に重要となるため、以下が推奨される。

対策１：漏洩アカウントの検知、把握、無価値化をワンストップで行う仕組みと体制の構築

①アカウント漏洩の集中監視
漏洩アカウント数の大小を問わず、重要なのは漏洩の事実をいち早く把握することであるため、アカウント漏洩を即時検知する監視体制を整える。

②アカウント漏洩の把握
①の監視により検知された漏洩状況を、アカウント利用者と管理者双方へ即座に連絡し、問題の把握を行えるようにする。
従来の漏洩監視ツールでは、アカウント利用者が自身のアカウントの漏洩状況しか把握することができず、組織全体での把握スピードが遅れやすく、対応が後手に回ってしまうため別途対策が必要。

③漏洩したアカウントのパスワードを早急に変更
アラート通知を受けた管理者及び漏洩対象者は、いつ、どこで、どのパスワードが漏洩したのかを確認し、当該アカウントが不正利用される前にパスワードを変更する。
ただし、パスワードを変更する際にも、既に漏洩しているパスワードを再利用しないよう注意を払う必要があり、再設定パスワードの管理が必要。

※ソースポッドでは、上記の対策1ができるSPC Leak Detectionにて、全機能を使用できる Standard Editionをはじめ、様々なプランをご用意しております。詳細は株式会社ソースポッドまでお問い合わせください。

対策２：多要素認証の仕組みを導入する
法人・組織内システム、法人・組織が契約している外部サービスでは、多要素認証を導入することで、アカウント漏洩時も不正ログインを防ぐことが可能となる。ただし、最近ではフィッシングSMSリンクを用いた中間者攻撃や、Modlishka・NecroBrowserを組み合わせて用い、正規サイトの保護手段を回避する手口がいくつも出てきているため、多要素認証導入後も、アカウント漏洩状況の把握を継続的に実施することが推奨される。

対策３：利用者のアカウント管理に関するリテラシー教育を行う
昨今の情勢から、利用者自身にアカウント管理のリテラシーが求められているため、アカウント管理の重要性、アカウントが漏洩するとどのような被害を受ける可能性があるのか、不正アクセスの仕組み、対策、管理方法等の教育を利用者に行う。