2014年05月30日
識者に聞く

金融機関は「ウイルス侵入を前提とした対策」を

金融情報システムセンター(FISC) 調査部長 荒井 隆氏

  • このエントリーをはてなブックマークに追加

 インターネットバンキングでの不正送金が急増している。警察庁によると、2013年は1315件で前年の約20倍、被害総額も14億円超と前年の約30倍に達した。全国銀行協会の調べでは、2014年に入って法人口座の被害も急拡大している。攻撃手法が巧妙になる中、金融機関はどのように対応しようとしているのか。2月に「金融機関におけるサイバー攻撃対応に関する有識者検討会報告書」を取りまとめた公益財団法人 金融情報システムセンター(FISC)の荒井隆 調査部長に聞いた。

(聞き手は鈴木 恭子=ライター)

あるセキュリティ対策ベンダーは、2013年を「大規模データ侵害の年」と位置づけています。なぜここまで被害が拡大しているのでしょうか。

金融情報システムセンター(FISC) 調査部長 荒井 隆氏
金融情報システムセンター(FISC) 調査部長 荒井 隆氏

荒井氏 金融機関を狙った攻撃に限りませんが、サイバー攻撃の手口は日進月歩です。標的型攻撃やID/パスワードの窃取によるなりすまし、Webサイトに存在する脆弱性を突く攻撃など、様々な手口が存在します。

 2月に公表した有識者検討会報告書でも、検知や防御が相対的に困難な手口が増えていることによって、サイバー攻撃を完全に防ぐのは難しいとの前提に立って対応を進めることの重要性を強調しています。攻撃を受けてシステムが全面的にダウンして、業務を継続できなくなるリスクまで想定しておかないと、対策としては不十分というわけです。

 加えて、インターネットバンキング・サービスを提供している金融機関は、自社への攻撃対策を講じるだけでなく、サービスの利用者に対してもサイバー攻撃を受けるリスクについて説明し、対策を講じるようにアナウンスする必要があるでしょう。

利用者のセキュリティ意識を高めるのは難しい問題です。ここ数カ月で、メガバンクや地方銀行の法人向けのネットバンキングでも不正送金が相次いで発覚し、各行は申し込み当日の送金を見合わせるなど対応に追われています。

荒井氏 法人向けネットバンキングのユーザーのうち、地方の中小企業や小規模なオーナー企業では、セキュリティ対策が不十分なPCを使用しているケースも少なくないという話もあります。また、長年経理を担当している社員の中には、インターネットやPCのリテラシーが必ずしも高くない人もいるかもしれません。

 金融機関はこうした利用者に対し、十分なサポートを提供できていないのが現状です。一部の金融機関では、渉外担当の行員が顧客のPCのセキュリティ対策についてアドバイスしているケースもありますが、ごく少数にとどまっています。