金融機関における「敵からの」防御対象

　金融機関における攻撃にさらされる可能性のあるリソースとチャネルを俯瞰した図を示そう。これまで金融機関のサイバー対策として注力されてきたのは、「外接系システム」「内部ネットワーク」「外部ネットワーク」「顧客の接続環境」「金融機関職員のリテラシー」の5つだ。

　もちろん、最近はここに「サードパーティリスク」として委託先などが新たなチャネルとして重視されている。ただし、エンドユーザー、とりわけ「エンドユーザーのリテラシー」については、現状で多くの金融機関で踏み込んだ対策が進んでいない可能性がある。法人顧客もさることながら、敵のターゲットは、ITリテラシーの低い個人顧客なのだ。

　他方、金融庁のこれまでの取組対象からは、顧客そのものへの“目配せ”は点検ポイントとして重視されていない。わずかに、「金融機関がサイバー攻撃を受けた場合の顧客への速やかなる周知」、といったものが限定的に取り上げられているにとどまっているのが実態だ。

　また、実際に顧客がサイバー攻撃の被害者となり、金銭的な被害を負った場合、顧客から「被害届を出したいので詳細な情報を教えて欲しい」と金融機関に通知しても非協力な姿勢を示す例もあると聞く。

　これは、金融機関が「サイバー保険」などを通じて被害額を金銭的に賠償するケースが多く、「顧客に実損を与えていないから」と考える金融機関が存在するためだろう。

金融機関が強固なセキュリティを具備しても、顧客から情報は漏洩する

　最近は、ニュースサイトやYouTubeなどで「有名なブランド品を激安販売」などとして広告を出稿し、顧客から金品を窃取する手口が広まっている。

　「高級腕時計がなんと2万9800円！」「本革コートが2980円。2枚買うともう1枚プレゼント」といったものが中心で、表示された事業者名に実在する企業名を名乗るものも存在するなど、誤認を前提とした手口とも言える。コロナ禍で在宅時間が増加し、オンラインショッピングが志向されがちな環境を敵はターゲットにしているのだろう。

　実際に購入してしまうと、商品自体が送られてこなかったり、高級ブランド品のニセモノが送られてきたりするようだ。これだけであれば従前から存在する単なる詐欺行為なのだが、なかには「販売価格は1円」、というケースもある。この場合の敵の目的はなんだろうか？

　商行為すら装っていないこうしたケースでは、敵は「顧客が入力したクレジットカード番号」そのものを窃取することを目的としている。カード番号が入手できてしまえば、すぐさま他サイトで顧客を装ってモノを購入するのだ。

　金融機関としては、常に、自行のフィッシングサイトが立ち上がっていないかを確認することが必要となるが、これだけではもちろん対応は不足する。上述のように顧客が頻繁に利用するであろう通販会社や流通企業のホームページなどを偽装したサイトに顧客が誘導されるケースが相次いでいるためだ。

　すなわち、すでに金融機関側の対応には限界があり、ボトルネックは「顧客側のITリテラシーそのもの」の時代に突入しているのである。

【次ページ】必要となる顧客側ITリテラシーのアセスメント