金融機関では個人情報の大規模流出や
取引、決済の停止などの事例
金融機関では、これまでのところ日本では社会全体を揺るがす規模のランサムウエア被害はまだ起きていない。しかし、それをもって安全と見るべきではない。
金融機関本体の防御が比較的厚いとしても、委託先、周辺システム、古いシステム、認証情報管理の弱点を経由して被害が及ぶ可能性は残るからだ。そしてミトスの突破力は、これまでよりもずっと強いからだ。
15年11月に、三菱東京UFJ銀行に不正アクセスがあり、会員制サイトのサービス運営者の預金口座入出金明細が流出した。これはランサムウエアによるものではないが、明細書に記載された振込依頼人の情報が、架空請求詐欺に悪用されていることもわかった。
同行へ口座振り込みをしている会員サイトなどの運営者に振込依頼人として自分の電話番号を入力した場合には、架空請求詐欺に悪用される恐れがあった。
アメリカではCapital One事件がある。これは個人情報の大規模流出事件だ。
Capital Oneはアメリカの大手金融機関で、個人向けの銀行、クレジットカード、自動車ローンなどを手掛けている。銀行ではあるが、ITに特化したことが競争力の源泉になっていた。
ところが、クラウドの設定不備を突かれた情報流出事件が19年に起き、1億人超の個人情報が流出した。
流出したのは、米国で1億人、カナダで600万人という非常に多くの個人情報で、この中には与信の情報も含まれていた。また、社会保障番号や銀行口座番号などの個人情報が盗まれた。
23年11月には、中国工商銀行の米国子会社ICBC Financial Services がランサムウエア攻撃を受け、米国債取引・決済に支障が生じた。これは、金融機関へのサイバー攻撃が市場インフラに波及し得ることを示した重要な事例だった。
25年には、米国の金融機関向けサービス企業Marquis Software Solutions が攻撃を受け、複数の銀行・信用組合の顧客情報に影響が及んだと報じられた。これは、銀行本体だけでなく、委託先・取引先を経由したサプライチェーン型のリスクが大きいことを示している。
KADOKAWAやJAXAも攻撃対象に
先端技術情報を狙った諜報型攻撃も
これらの事例のほかに、日本でもいくつかのランサムウエア被害や不正アクセス事件があった。
24年には、KADOKAWAグループとニコニコ関連サービスが大規模なサイバー攻撃を受けた。
この事件は出版や動画配信、決済、物流、社内業務などに広く影響し、デジタルサービス企業がランサムウエアで長期間の事業停止に追い込まれるリスクを示した。
また、JAXA(宇宙航空研究開発機構)への不正アクセス事件があった。これは23年に認知され、24年に公表された。JAXAは、外部機関からの通報を受けて内部サーバーへの不正アクセスを認識し、悪性通信の遮断などの初動対応を行った。
これは、金銭目的のランサムウエアとは異なり、宇宙・防衛・先端技術情報を狙う諜報型攻撃だった。
このように、サイバー攻撃はこれまでも深刻な被害をもたらしている。
ミトスは、デジタルシステムの欠陥を見いだす能力に優れているが、それが悪用されれば、攻撃用の強力な武器になってしまうことが懸念されている。
アンソロピック社はミトスの一般公開を中止し、グーグルやアップルなどごく一部の企業だけに公開して、この問題の対処法を探ろうとしている。しかし、それによって対処法が見いだされる保証はない。
世界はいま、新たなAIによる大きな危機の前に立たされている。
注1 VPN:Virtual Private Network:仮想専用線とは、インターネット上に暗号化された専用の「トンネル」。通信内容が暗号化されるため、盗聴や改ざんのリスクが軽減される。VPNに必要な装置は、VPNゲートウェーやゲートウェーの機能を搭載したルーターなど)。
(一橋大学名誉教授 野口悠紀雄)
