脅威を捉え、行動につなげる。SMBCグループのサイバーセキュリティ最前線

武笠攻撃の対象には企業を狙うものと、個人のお客さまの情報や資産を狙う主に2つのパターンがあります。昨今話題なのはランサムウェアで、そのきっかけは脆弱性を狙ったものや、認証情報の悪用などがあります。

さらに、世界的には内部の協力者を得る動きもあります。社会情勢に伴って、お金になるから協力する人が中に現れる。外からの侵入ではなく、中から穴を提供する人間がいるので、そういう視点も持ちながら対策を打たなくてはいけません。

また、個人を狙ったものではフィッシング詐欺が目立ちますが、攻撃者側にもさまざまな工夫がなされています。例えば、免許証をアップロードさせて本人確認情報を奪ったり、実際に電話をかけて会話しながら騙したりと、あの手この手で情報を盗み出してきます。

阿部残念ながら、サイバー攻撃の件数も被害額も右肩上がりの状況です。昨年、国内金融での被害が大きかった業界は、証券。基本的に狙われない業界はないとは思っているものの、証券も狙われるのかと驚きました。

生成AIの台頭で、フィッシングの手法が変わったのかという点もよく聞かれるのですが、個人的にはそこまでの変化は感じていません。海外の言語から自動翻訳した感じの読みにくい文章だった時代から、公式がアナウンスする注意喚起の文言をそのままコピーして使われるようになり、文面上の怪しさがなくなってきていましたから。生成AIで文面を作っていたとしても、劇的に変わったという印象はないですね。

大角そうですね、生成AIの影響はそんなにまだないですね。フィッシングメールの文面のほとんどが、企業・組織が本当に送っているメールをコピーして作られていますから。URLだけ書き換えて送った方が、犯罪者側にとっては楽ですし、正確です。その事象を見て、高度＝AIの影響と決めるのは、ややミスリードです。

一方で、個人のお客さまが対策としてぜひやってほしいのは、パソコンなら公式URLをきちんとブックマークする。スマホで公式アプリをご利用いただく、弊行であれば「三井住友銀行アプリ」を入れ、「SMBCセーフティパス」をご利用いただくというのが簡単で確実な対策方法ですね。

中村攻撃者側は、お金がたくさん集まっているサービスやその悪用方法、騙しやすいシナリオを日進月歩で研究しているわけです。昨今ですと証券が狙われましたし、もう少し前ですと暗号資産が狙われました。

攻撃者同士は協力して、どんどん手法を改善して、我々が対応しきれない部分が出てきてしまう。その繰り返しが続くので、常に私たちのような役割によって状況を観察する必要があるのです。

大角儲かる投資を装う「投資詐欺」、恋愛感情を利用した「ロマンス詐欺」、パソコンがウイルス感染したように見せかける「サポート詐欺」......いろいろあります。

阿部ビデオ電話で警察官の服装をした人が話をして、「あなた、逮捕されますよ」と恐怖心を煽って、金銭を騙し取るケースなど、結構アナログな手法も多いんですよね。

中村ただ、その路線がずっと続くわけでもないです。今うまみがあるから、攻撃者側もそうしているわけです。また別の新しい手法が見つかったら、そちらに舵を切るでしょう。

将来の動向を正確に予測することは容易ではありません。攻撃者がどの手法を選ぶかは、その時々の状況に左右されます。だからこそ、攻撃者側の行動やコミュニティを監視・研究し、いち早く手口を知る必要があります。そういうときに、我々のようにエンジニアの素養もある人が活躍するんです。

武笠新しい手口や自組織が狙われる動きをいかに早くキャッチできるか。それを担うのが我々です。

例えば政治的主張の強い攻撃者が日本に対して攻撃を仕向けるとき、SMBCグループがターゲットリストに入っているかどうかをタイムリーにキャッチできるかどうか。リストに入っていると分かったら、その攻撃者の手法を予め把握しておき、素早い対策やモニタリングの強化につなげます。

アンダーグラウンドな情報もオープンな情報も見ていますが、見ているだけでは意味がない。情報を把握した上で、アクションを考え、行動に移すこと。それこそが我々に求められています。

武笠一般的な脅威インテリジェンス（※1）のプロセスと同じですが、まずは、情報収集する環境を整えます。環境を整えると、自ずといろいろな情報が集まってきます。コミュニティの中でしかキャッチできない情報もあれば、オープンな環境で得られる情報、犯罪者コミュニティの情報などもあります。

※1 サイバー攻撃に関する情報を収集・分析し、組織の防御や意思決定に活用する仕組み

大角「こういうニュースがあります」というだけでは、人は動けません。例えば「とある攻撃グループがこれに関心を示していて、早めに対応しないと危ない」や「こういったパターンの攻撃が流行している為、具体的にこういった対策を施す必要がある」といった付加情報をつけることで、はじめてアクションが取りやすくなる。それが脅威インテリジェンスの本質であり、我々が意識しているポイントです。

武笠「こういうサイトが立っています」「こういう動きがありました」という情報を自分たちの組織だけではなく、業界全体を見渡して「こういう手口が使われている」という情報をインプット、還元する場がSMBCグループにはあります。一般的にはシステム部門が統括しているケースが多いと思いますが、SMBCグループではビジネス部門もそこに加わっています。

SMBCダイレクトを運用している部署、法人オンラインバンキングの部署、総務も経営企画も、あらゆる部署が素早く連携・対処できるチャットがあります。そこで「こういう被害があるようです」という情報をシェアしたら、「我々としてはこういうアクションをとっておかないとね」と各部が行動にどんどん移してくれる。システム部門とビジネス部門との距離が近く、むしろビジネス部門主導でこうしたアクションをとってくれるのはグループの強みだと感じます。

システム部門やセキュリティ部門にお任せではなく、自分たちでできることを見つけながら、場合によっては代替手段を取って、「一時的にこの機能を止めましょう」といったことまで踏み込んで判断してくれる。

阿部お客さまからの問い合わせなどの情報もすぐに入ってきます。「こういう被害が出ている」「こういう相談が来ている」というお客さまからの声をリアルタイムで連携してくれて、僕らがウォッチしている範囲外の情報に気づいたケースもあるんです。そういう意味でも組織力は感じますね。

武笠お客さまへの注意喚起の仕方についても、ビジネス部門が文章を作ったら、必ず我々にアドバイスを求めてくれます。こういう付加情報が書ける、こういう書き方をするとこういう捉え方も出来てしまう、こういう風に直そうなど、我々の提案を組み込みやすくしてくれています。フィッシング詐欺対策を組織的に取り組んでいるという、自慢できるポイントだと思います。

武笠案外、地道だと思いますよ。グローバルトップティア水準を目指す金融機関として、それを支えるセキュリティの構築を掲げていますが、まだまだ組織が十分ではないと思います。

まだ「個人の力」で支えている部分が多い。CSIRT（シーサート：Computer Security Incident Response Team）はあっても、それぞれ個人の能力に依存しない形で組織が回っている状況にはまだ至っていない。とにかく組織としての成熟度を上げていくために、社内教育に加え、もっと外の風を入れながら、組織を本当に強くしていかないといけないと感じています。

大角セキュリティに関心を持つ人を増やすためにも、なぜアップデートが必要なのかという理由づけや、こういう設定があればこういうリスクを回避できるという情報を加えながら、セキュアな考えを醸成させ、会社としてのセキュリティ成熟度も上げていきたいですね。

阿部僕は、共通認識を持つことが大事かなと考えています。組織横断でリアルタイムに情報を連携できていても、受け手となる各個人の知識や経験は全然違い理解の土台が異なるので、サイバーセキュリティの用語で伝えても伝わらないことが結構あったりするんです。

SMBCグループ全体の組織力を上げていくためには、それぞれがどういう言葉を普段から使い、何に意識を持ってやっているかを気にしながら、なるべく寄り添いたい。噛み砕いて説明したり、ゼロから解説したりすることを継続的にやり続けることで、組織も変わる。大きなことをドンとやるよりは、そうした積み重ねこそが、組織の強さにつながっていくと考えています。