経済発展におけるサイバーセキュリティ - 第2部: 銀行の「おいしい餌」

情報通信省情報セキュリティ局情報システムセキュリティ部長のトラン・グエン・チュン氏は、金融・銀行業界はサイバー犯罪者にとって「おいしい餌」とみなされているとコメントした。あらゆる銀行業務にテクノロジーがますます適用され、インターネット バンキングやモバイル バンキングを通じてさらに多くのユーティリティが統合されるようになると、これは避けられません。そのため、攻撃の数が増加し、攻撃の形態もより高度化します。

最近、オリエント商業銀行（OCB）は、データを暗号化して身代金を要求するコンピューターウイルスまたはマルウェアの一種であるランサムウェア詐欺が再び発生していると発表しました。詐欺師は、組織や個人からのメールを偽装してランサムウェアを含むリンクを送信するなどの一般的な手法を使用することがよくあります。顧客が誤ってランサムウェアを含むリンクをクリックしたりファイルを開いたりすると、デバイス上のデータが自動的に暗号化され、復号化するために身代金が要求されます。

「さらに、ウイルスは同じネットワーク上の他のデバイスにも広がる可能性がある。ランサムウェアを含むリンクは、チャットチャンネルやソーシャルメディアの投稿にも表示される可能性がある。したがって、顧客はランサムウェアの攻撃を避けるために注意し、出所不明のリンクにアクセスしたり、検証されていないファイルをダウンロードしたりしないようにする必要がある」とOCBは警告した。

ランサムウェア攻撃は、今日最も一般的なサイバー攻撃の形態の 1 つです。特に注目すべきは、最近、VNDirect Securities Company と Vietnam Oil Corporation (PVOIL) の情報技術システムに対する 2 件のランサムウェア攻撃が発生したことです。 Tomotech社の技術ディレクターであるPhan Van Hung氏によると、ランサムウェア攻撃は世界中で珍しいことではないそうです。 2021年5月、米国大手の燃料パイプライン会社コロニアルは、ランサムウェアによるサイバー攻撃を受けて、米国東海岸に燃料のほぼ半分を供給するネットワーク全体を停止した。彼らは攻撃を受けてからわずか数時間後に440万ドルの身代金を支払わなければならなかった。しかし、同社は業務を完全に復旧させるのに数日間苦労した。

この専門家は、インシデントの原因は、ソフトウェア エラー、構成エラー、または人為的エラーによるセキュリティ ホールなど、さまざまな側面から発生する可能性があると考えています。スタッフはネットワークセキュリティに関する知識が不足しており、セキュリティシステムが十分に強力ではありません。ハッカーはますます巧妙化しており、企業自体がサイバーセキュリティインシデントに対応する計画を持っていない可能性も否定できません。

銀行部門はサイバー犯罪者の標的となることが多いが、専門家によるとベトナムの銀行はシステムに多額の投資を行っているという。この分野は、サイバーセキュリティインシデントへの対応に関する豊富な経験に加え、国際機関からの支援と経験も持っています。

フン氏によると、ハッカーはランサムウェア以外にも、偽の電子メールやメッセージ、偽のウェブサイトを使ってユーザーを騙し、個人情報を提供させたり、マルウェアをダウンロードさせたりして、アカウント情報を盗み、ユーザーのアカウントから金銭を横領することもあるという。

この現実に直面して、いくつかの銀行のリーダーたちは、顧客情報がコピーされ外部に送信されるのを検出し、絶対に防止するために、評価、査定、内部および体系的なレビューの方法を継続的に実施していると述べました。

トラン・グエン・チュン氏は、情報通信省情報セキュリティ局が定期的に各部署に直接警告を発するとともに、国立銀行情報技術局と連携して、一般的な脆弱性や弱点に関する最新情報や早期警告を発し、適時に修復できるようにしていると述べた。

ファン・ヴァン・フン氏は専門家の観点から、銀行のセキュリティと安全システムは現在非常に高い基準を満たしているが、セキュリティシステムは引き続き強化する必要があると評価しました。顧客側、つまりユーザー側も、自らの資産を守ることへの意識を高める必要があります。

さらに、洪氏は、すべての顧客取引や銀行員の重要な業務の一部では、指紋、顔、目などの生体認証の使用を継続的に増やすべきだと提案した。完全に防ぐことはできないが、これによってハッカーに対する障壁も高まる。同時に、個人用デバイス上の特別なアドレスを通じてデバイスを識別し、見知らぬデバイスからのアクセスを回避します。

チョン氏はまた、ユーザーは情報を共有する際には注意する必要があり、ソーシャルネットワークに個人情報や銀行口座を投稿しないようにする必要があると指摘した。人工知能（AI）から開発された新技術には、偽の動画や通話を作成し、ユーザーや既存のセキュリティシステムを騙す機能があり、詐欺や財産の横領につながり、大きな損害をもたらす可能性があるからです。

これまで銀行は、顧客に対し、出所が不明または怪しいメッセージや電子メール内のリンクにアクセスしないよう継続的にアドバイスしてきました。当銀行はいかなる形でも顧客に機密情報の提供を求めることはありません。

安全を確保するため、顧客は電子バンキング システムにアクセスする際、公共のコンピューターや公共の無線ネットワークの使用を制限する必要があります。名前、ログイン パスワード、OTP 認証コード、銀行カード番号などの個人情報を、電話、電子メール、ソーシャル ネットワーク、または安全でない Web サイト経由で共有しないでください。個人情報漏洩の疑いがある場合には、お客様は積極的にパスワードを変更し、推測されにくいパスワードを使用する必要があります。

お客様は、自動ログインにパスワード保存機能を使用しないでください。同時に、顧客は、取引残高に変更があった場合に通知を受け取るように登録し、発生する問題を迅速に検出できるようにする必要があります。さらに、銀行からのオンライン決済セキュリティに関する通知を公式メディアチャンネルで定期的に監視し、更新する必要があります。

レッスン3: 情報セキュリティにおける「抵抗」の増大