/

後手に回る金融庁 指針で守れないサイバーテロ

インターネットバンキングの不正送金の被害が深刻化している。2014年の被害額は29億円を超え、13年比で約2倍に膨らんだ。地方の金融機関で被害が集中し、企業のネット銀行口座が狙われた。相次ぐ被害を受け、金融庁は2月に新たに監督指針を公表し、金融機関のセキュリティー対策の強化を義務付けた。ただ専門家は「現状と離れすぎていて実行するのは難しい」と疑問視する。

寝る間も惜しみ、"四六時中"ネット上の会話を監視

「私は昨晩、6時間寝てしまったから、すでに専門家でなくなってしまった」。名和利男氏はこう戒める。日本のサイバーセキュリティー対策の第一人者で、国内外で最も名前を知られる専門家の一人だ。現在は米大手のファイア・アイ日本法人(東京・千代田)のCTO(最高技術責任者)と、サイバーディフェンス研究所の上級研究員を務める。過去には、航空自衛隊でシステムの運用監視にあたってきた。

名和氏は「攻撃者はデータを破壊し、システムを機能停止に追い込むのが最終目的だ」と警鐘を鳴らす(5月8日、東京都内)

そんな彼でも睡眠中は攻撃者の動向を把握できない。その間にサイバー攻撃のリスクを広げたと考え、自己反省する。

専門家は四六時中、攻撃者のネット上の会話を監視し、次の攻撃を予測している。それでも、現在の攻撃は防げないのが現状だ。にもかかわらず、金融庁の監督指針は「銀行員に技術的に高いレベルの対策を求めている。どう考えても実行は難しい」。

金融庁は2月、監督指針の一部を改正し、ネット銀行や金融システムなど4項目にわたって、必要なセキュリティー対策を記した。金融機関は対応で不足があれば、行政手続法に基づき行政処分の対象になる。最悪の場合、営業停止の処罰も科されかねない。監督指針は「第2の法律」のような存在だ。

問題は第2項の「サイバーセキュリティ管理にかかる監督指針等の改正」だ。サイバーセキュリティ基本法や「高度化・巧妙化」する世界のサイバー攻撃状況を踏まえ、最新の安全対策を施すことを求めている。

金融庁は2月、一部改正した監督指針でサイバー攻撃の高度な対策を求めた

そもそも近年の「高度化・巧妙化」したサイバー攻撃は、現在普及する対策製品ですら検知できていない。ところが指針は、最新の安全対策を施せば攻撃を防げることが「前提」になっている。

言い換えれば、金融庁は金融機関で被害を確認したとき、指針を盾にして「最新の安全対策を施していない」として、厳しい処罰を下す可能性がある。

金融庁は既存の対策製品が、すべての攻撃を防げるという考え方を持っているようだ。しかし、その発想自体が現実に沿っていない。名和氏は記者にこう問う。「自分のパソコンに、未知のウイルスが混入していないと確信が持てますか」

 米ウイルス対策ソフト大手シマンテックによると、コンピューターウイルスは毎日、100万種類生まれるという。名和氏は「私はパソコンにウイルス対策ソフトを入れていない」と明かし、「独自に監視ソフトを作っている」という。「パソコン内のソフトの平常値をすべて記憶」し、自分の目で異常を確認している。

2014年には1日あたり約100万の新種ウイルスが生まれた(米シマンテック調べ)

「ここまでしなければ、自分の身は守れない」と名和氏。近年の「高度化・巧妙化」したサイバー攻撃は、最新のシステムでも、専門家でも完璧に防げるレベルではない。だが、被害が見つかれば、監督指針に従って「金融機関が責任を負うことになる」。

なぜ金融機関が狙われるのか。たとえば、ネット銀行で不正送金させれば、攻撃者は直接、営利をむさぼれる。警察庁は2月、不正送金の被害額が13年の約2倍の29億1000万円にのぼったと発表している。

ただ名和氏は金額の多寡について「一面にすぎない」と一蹴する。「攻撃者は国の威信を傷つけるために、金融機関のシステムを停止に追い込む」という。

一例として、12~13年の間、米国の大手銀行を狙って繰り返されたサイバー攻撃「オペレーション アバビル」を挙げた。

米国人監督が12年7月、映画「無邪気なイスラム教徒(イノセンス・オブ・ムスリム)」を自主製作し、予告編を動画投稿サイト「ユーチューブ」に公開した。

映画は、予言者ムハンマドを中傷する内容で、アラビア語の字幕がつけられると、中東を中心に動画の削除を求める運動が始まる。

攻撃者は米国の金融機関に犯行予告文を送りつけ、警告していた

攻撃者はネット上で米国の政治家に主張を通し、米国の信用をなくすために、どこを攻撃すればいいかを話し合った。

標的となったのが、米国の金融大手のネットバンキングだ。サイトの機能が止まれば、世界の企業は国際取引できなくなる。そうなれば、国の信用も低下する。

12年9月以降、バンクオブアメリカ・メリルリンチやJPモルガン・チェースなど大手銀行のネットバンキングにDDoS(分散型のサービス妨害)攻撃を仕掛けた。攻撃は断続的に5回繰り返され、そのたびに銀行取引が4時間止まった。

現実世界では、リビアやエジプトなどアラブ諸国の米領事館が次々にロケット弾などで襲撃され、リビア米大使ら4人が殺害されている。当時の報道は領事館襲撃に集中したが、サイバー空間の攻撃も表面化していた。

攻撃者は「金融機関の内部システムの停止」を明確に狙っている。しかも、最終目的は「破壊」だ。「金融サイバーテロ」の様相を呈している。

 サイバーテロは世界中に広がっている。11年には韓国の農協銀行で、委託業者のパソコンを媒介し、サーバー587台のうち、273台がウイルスに感染した。ATMの決済情報や顧客の口座情報などが削除され、システムが止まった。

この攻撃では、ウイルスが81種類見つかった。ウイルスは「偵察」「攻撃」「痕跡の削除」と役割分担され、それぞれが有機的に動いたという。

最近では14年のソニー・ピクチャーズエンタテインメント(SPE)や15年4月のフランスの放送局「TV5モンド」のように、「データの破壊が脅威になった」(名和氏)。

14年には日本の金融機関2カ所が標的となった。銀行内の通信環境は、外部とは切り離された「閉塞ネットワーク」になっている。ただサーバーやパソコンは、米マイクロソフトの基本ソフト(OS)「ウィンドウズ」を使っており、最新ソフトに更新しなければならない。

銀行では、行員が専用端末で最新のソフトをダウンロードし、CD―ROMやUSBメモリーなど外部記憶媒体に移して、パソコンなどのソフトを更新している。この媒体がウイルスに感染していたのだ。13年ごろから順次、パソコンが感染し、行員らもパソコンの不調に気づいていた。何度もデータをリセットするが、しばらくして再び動作が重くなる。

調査メンバーの一人として名和氏が加わったところ、パソコン320台が感染していたことが分かった。キーボードをたたいたときの文字を覚える「キーロガー」と呼ぶウイルスで、「幸い内部の機密情報は抜かれていなかった」。

サイバー攻撃は国境を超え、秒単位で繰り返されている(米ファイア・アイのサイト)

ただ「内部のシステムが攻撃された」ことは重要な事実だ。「高度化・巧妙化」したサイバー攻撃は、「サイバーテロ」という段階に移った。

金融庁の新しい監督指針が時代の潮流にそぐわず、無理があるのは明かだ。金融機関は被害を見つけても、処罰を逃れるため、隠す傾向が強まる。結果的に被害を受けるのは顧客だ。

名和氏は金融機関に(1)内部に高度な知識を持つ人材を育てる(2)サイバー攻撃対策の演習を重ねる(3)「金融ISAC」のような団体を活用する―という3つの方策を提案する。

最後に、名和氏はこう付け加える。「企業を横断して、業界全体で情報を共有し、すぐに最善の対策を打っていくしかない」。そうでなければ、サイバーテロには勝てない。

(企業報道部 浅山亮)

すべての記事が読み放題
有料会員が初回1カ月無料

セレクション

トレンドウオッチ

新着

注目

ビジネス

暮らし

新着

注目

ビジネス

暮らし

新着

注目

ビジネス

暮らし

フォローする
有料会員の方のみご利用になれます。気になる連載・コラム・キーワードをフォローすると、「Myニュース」でまとめよみができます。
新規会員登録ログイン
記事を保存する
有料会員の方のみご利用になれます。保存した記事はスマホやタブレットでもご覧いただけます。
新規会員登録ログイン
Think! の投稿を読む
記事と併せて、エキスパート(専門家)のひとこと解説や分析を読むことができます。会員の方のみご利用になれます。
新規会員登録 (無料)ログイン