ランサムウェアやDDoSで連鎖被害も？ 再々委託先までのリスク管理が不可欠になった訳：金融業で考えるサプライチェーンのリスク管理（1）

再委託先がVPNの脆弱性を突かれてランサムウェアに感染、自社サービスが停止――。そうした自組織の外側から迫る脅威に警戒しなければなりません。特に金融業界を狙った攻撃の手口と、求められる対策を解説します。

[藤本 大，SecurityScorecard株式会社]

　委託先がVPN（Virtual Private Network）機器の脆弱（ぜいじゃく）性を突かれてランサムウェア（身代金要求型マルウェア）に感染。それが影響して自社のサービスが停止――。攻撃者が狙うのは、サプライチェーンの外側に位置する委託先などの関係組織です。

　こうした「委託先を踏み台にした攻撃」が広がっています。クラウドサービスの活用やAPI（アプリケーションプログラミングインタフェース）連携、システムの外部委託が急速に拡大している金融業界も例外ではありません。業務効率化やサービスの利便性が向上する一方で、サプライチェーン全体に存在する「潜在的セキュリティリスク」も拡大の一途をたどっているのです。金融機関ではセキュリティ対策の甘い業務委託先が標的となり、情報漏えいやシステム停止など、深刻な事態へ発展するケースが相次いでいます。

　本連載は、金融業界の動向を例にしながら、サプライチェーンに潜む脅威とその対策について解説します。まず本稿では、2024年末に発生したDDoS（分散型サービス拒否）攻撃をはじめとする金融機関へのサイバー攻撃の動向をまとめるとともに、いまサプライチェーン全体にどのようなリスクが生じているのかを考察します。

1．サードパーティー依存がもたらす新たな脅威

　規制の厳しい金融業界においては、たった一度のセキュリティ侵害が、評判の失墜、顧客離れ、高額な罰金など、企業に甚大な影響を及ぼす可能性があります。これら重大な事態を回避するためには、エコシステム全体の保護が極めて重要です。

　デジタルエコシステムの拡大に伴い、金融機関はサードパーティーベンダーやサービスプロバイダーへの依存を深めています。サプライチェーンの脆弱性がデータ侵害の原因となっている現在、サードパーティーを含めたサプライチェーン全体のリスク管理は、もはや選択肢ではなく不可避なものとなっています。

　しかし、従来のサードパーティーリスク管理対策では、サプライチェーン全体の可視性や迅速な対応が十分とは言えません。

　自社だけでなくサプライヤーのセキュリティ体制も含めて継続的に監視し、強化することが重要です。脅威インテリジェンスやワークフローの機能を活用し、セキュリティ担当者がサプライチェーン全体に潜むセキュリティ課題を迅速に特定し、対処できる体制が求められています。

2．金融機関を狙ったサイバー攻撃動向

サードパーティー由来の攻撃増加――委託先のシステムを悪用した例

　委託先のシステムを悪用した事例として、再委託先が提供するクラウドサービスにおけるVPN機器の脆弱性を突いた不正アクセスにより、ランサムウェアに感染したケースがありました。その結果、金融機関の外部ファイル転送システムが利用不能となり、サービス停止に至ったと報告されています。原因としては、再委託先での脆弱性管理やアップデートの不徹底、検知体制の不備、さらには外部委託時のセキュリティ評価不足が挙げられます。

金融機関に対するDDoS攻撃事例――2024年某銀行に対するDDoS攻撃

　2024年末から2025年初頭にかけて、国内主要金融機関がDDoS攻撃を受け、インターネットバンキングが一時的に接続障害を起こしました。トレンドマイクロのレポートによれば、攻撃の一部を実行したとみられるIoT botネットからは、2024年末から2025年1月22日までの間に、国内52組織に対し、150回以上の攻撃コマンドが発行され、年末年始の繁忙期を狙った大規模な攻撃となりました。

　この攻撃の影響範囲は、個人による送金や口座照会にとどまらず、企業間の資金移動、決済代行業者、ECサイトの取引処理にまで波及しました。多くのサービスは数時間から1日以内に復旧しましたが、攻撃元の特定や通信制御強化など、中長期的な防御体制の強化が急務となっています。

　DDoS攻撃は単なる「接続障害」ではなく、クラウド事業者、CDN（コンテンツデリバリーネットワーク）、API接続先、FinTechサービスなどサプライチェーン全体に波及し得るものであり、包括的な防御体制の構築が不可欠となっています。

その他のサイバー攻撃

　金融機関とそのシステムは、サイバー攻撃者にとって格好の標的です。サイバー攻撃者は、常に侵入可能な脆弱なシステムを探しています。金融機関が直面しているDDoS攻撃やサプライチェーンに由来する攻撃以外の課題も紹介します。

フィッシング攻撃

　少ないリソースで実行できるため、サイバー攻撃者が好む侵入手口です。フィッシングは、偽メールや偽サイトで利用者をだまし、企業や政府関係者になりすまして機密情報を窃取します。生成AI（人工知能）の普及により偽装精度が高まり、判別が困難になっています。

ランサムウェア攻撃

　ランサムウェアは、ファイル暗号化やシステムロックを行い、身代金を要求する悪意あるソフトウェアです。従来は添付ファイルやリンク経由で拡散しましたが、AIの活用により手口が一層巧妙化しています。

内部脅威

　内部脅威は、従業員や契約者など内部関係者による過失や意図的な情報漏えいや不正アクセスを指します。金銭目的や不満、不注意などが原因となるもので、テレワーク普及に伴いリスクが増大しています。

3．金融機関に求められるセキュリティ意識の変革

　近年の金融業界では、業務の効率化やサービスの拡張を目的に、サードパーティーベンダーやクラウド事業者との連携が広がっています。しかしこの利便性の裏では、委託先や取引先に起因するサイバーリスクが急速に高まっており、金融機関自身の防御力だけでは不十分な時代に突入しています。こうした状況に対応するためには、「リスクの可視化と事前対応」「サイバー攻撃の影響最小化」「サプライチェーン全体での防御力強化」といった多面的な取り組みが求められます。

リスクの可視化と事前対応の必要性

　サプライチェーンが複雑化する中で、金融機関は自社だけでなく、業務を支えるあらゆる委託先・再委託先のセキュリティ体制までを把握・管理する必要があります。とりわけ、フォースパーティー（再々委託先）やNパーティー（委託構造のより外側にある関係先）といった関係者に潜むリスクは見えづらく、従来の管理体制では把握し切れない場合もあります。こうした背景から、全ベンダーの洗い出しとリスク評価、リアルタイムでのアラート検知など、可視性を高める仕組みの整備が急務です。新たなリスクが拡大する前に先手を打つことこそが、今後のセキュリティ戦略の核となります。

サイバー攻撃の影響を最小化するための基本戦略

　万が一のインシデント発生時に被害を最小限にとどめるためには、平時からの備えと迅速な初動対応が鍵になります。リスクを“ゼロ”にすることは不可能であるからこそ、事前に攻撃の影響範囲や復旧手順を明確にし、事象発生時に混乱なく対処できる体制を築いておくことが不可欠です。

サプライチェーン全体でセキュリティを強化するためのアプローチ

　金融機関のセキュリティは、自社だけでは完結しません。業務委託先などを含めた「エコシステム全体」での防御が求められます。個々のベンダーのリスク状況を継続的に評価・監視し、必要に応じて支援や再評価を行うなど、パートナー企業との協力体制を築くことが重要です。さらに、セキュリティ水準をベンダー選定や契約時の要件に明記するなど、ガバナンス強化の取り組みも併せて進めるべきでしょう。

　このように、リスクの可視化からインシデント対応、そしてサプライチェーン全体の協力体制構築まで、セキュリティの視点を根本から見直すことが、今後の金融機関にとって喫緊の課題となっています。

　金融機関のエコシステムにおいてサードパーティー、フォースパーティー、そしてNパーティーのベンダーを継続的に監視し、監視を通じて得られる可視性により、金融機関は以下のメリットを得られます。

• Nパーティーまでを含む全てのベンダーを網羅的に把握
• 高リスクベンダーの継続的なセキュリティ評価
• リアルタイムなアラートと対応体制の整備

　可視性は、ベンダーの状況を完全に把握していることを示すだけでなく、新たなリスクが拡大する前に、金融機関が事前に対策を講じ、リスクを軽減することに役立ちます。ベンダーとの関係を継続的に評価することで、金融機関は回復力とセキュリティに優れた運用環境を維持できます。

4．サプライチェーンリスクの深刻さと金融機関への影響

　金融業界はいま、かつてない規模のサイバーリスクと容赦ない攻撃の渦中にあります。金融サービスにおいて発生しているデータ侵害の多くが、サードパーティーベンダーの脆弱性に起因しています。金融機関の相互接続性はリスクを増幅させ、サプライチェーンの1つの弱点が、顧客の機密データ漏えい、業務停止、規制違反、ブランド毀損（きそん）につながる可能性があります。

　規制当局の監視も一層厳格化しており、世界各国の規制機関は、デューデリジェンス（適正評価手続き）の実施状況やベンダー監視の継続的な証跡提出を企業に求めています。一方、サイバー攻撃者は、さらに巧妙かつ戦略的な戦術を駆使し、フォースパーティーやN次パーティーベンダーの見落とされがちな脆弱性を狙い、ゼロデイ攻撃などで組織の対応が間に合わないうちに侵入する事例が増えています。

　このような状況下で、サードパーティーリスク管理（TPRM）は、金融機関におけるサイバーセキュリティの中核的要素となりつつあります。可視性の向上、脅威の早期検知、リスクの優先順位付けにより、重要資産と顧客情報を守ることが可能になります。

　もはや、サプライチェーン攻撃は「起きるかどうか」ではなく「いつ起きるか」という前提で備えるべき脅威です。金融機関は、サイバーセキュリティに対するアプローチを抜本的に見直し、次世代型の攻撃に立ち向かう備えを、いまこの瞬間から始めなければなりません。

---

　次回は、金融業界における効果的なサプライチェーンリスク管理について詳しく解説していきます。

筆者紹介

藤本 大（ふじもと だい）

SecurityScorecard株式会社 日本法人代表取締役社長

1996年に日本電信電話株式会社に入社し、東日本電信電話株式会社、NTTコミュニケーションズ株式会社で法人営業に従事。 製造業、サービス業、金融業などの大手日本企業や外資企業を担当し、ネットワークサービスのみならずさまざまなセキュリティサービスを提供。 2017年にファイア・アイ株式会社に入社、パートナー営業部長として主に大手通信事業者とのパートナービジネスの拡大に貢献。 2020年7月1日にSecurityScorecardに入社し、2021年6月24日より現職。1971年長崎県長崎市生まれ。青山学院大学国際政治経済学部卒業。