サイバー攻撃で狙われる金融サービス
――地政学的環境の変化とDDoS攻撃の増加

モバイル決済が使えない

　最近モバイル決済でトラブルを経験した読者の人もおられるだろう。朝の通勤途中にコーヒーを買おうと思ったらモバイルアプリが使えなかった[1]。お昼に支払いをしようとしたらモバイル決済で払えなかった[2]。電車に乗って出口で残高が足りなくてチャージをしようとしたら、交通系決済アプリにチャージできなかった[3]。こんな経験をしているはずだ。これらは、今月（2024年5月）に実際に発生したシステム障害である。小口の決済がモバイルに移行する中で、現金を持ち歩かない人も増え、このようなシステム障害は人々の生活に大きな影響を与えるようになってきている。

　モバイル決済に支障を及ぼすシステム障害の原因は、①サーバーなどのハードウェア（機器）のトラブルによるもの、②システムのソフトウェアのトラブルによるもの、③サイバー攻撃や不正アクセスによるもの、に大別することができる。このうち、①は冗長性（予備のシステム機器）の確保で本来は防げるものだが、冗長構成が機能しない、復旧の手続きミスで障害の回復まで時間がかかるといった事案が起きている。②はシステムの更新時に発生することが多い。一番やっかいな問題となってきているのが、③のサイバー攻撃によるシステム障害の増加である。

　金融庁は2023年6月に『金融機関のシステム障害に関する分析レポート』を発表し、2022年以降の新しい傾向として、委託先システムへの外部からの不正アクセス、脆弱性を悪用されたランサムウェア被害、金融機関へのDDoS攻撃による障害、といったサイバー攻撃を原因とするシステム障害が発生していると分析している[4]。このうち、DDoS攻撃は、サイバー攻撃の手法としては古くからある手口で、標的であるサーバーやウェブサイトに対して処理容量を上回る通信を送信し、過負荷によってシステム障害を発生させるやり方である。

　金融庁の2023年の分析レポートでは、2022年以降DDoS攻撃によって発生した金融システムの障害事例を具体的な金融機関名や時期の明示を避ける形で掲載している。信用金庫・信用組合で発生したDDoS攻撃による金融サービス障害の事例[5]では、DDoS攻撃によって金融機関のホームページが閲覧できなくなり、ホームページのオンラインバンキングに支障が生じると共に、金融機関のアプリについても利用ができなくなった。別の金融商品取引業者で発生したDDoS攻撃では、金融サービスを提供しているIPアドレス宛にDDoS攻撃が発生し、ネットワーク機器の過負荷によって、金融サービスの処理時間の遅延やエラーが発生した[6]。地方銀行に発生した金融サービス障害では、同銀行がホームページの運用を委託している業者に対してDDoS攻撃が発生し、巻き添えを食らう形で、ホームページ経由でのオンラインバンキングへのアクセスができなくなった[7]。

　このような状況の中で、冒頭の事例に挙げた今年（2024年）5月10日に発生した交通系決済アプリのシステム障害は、サイバー攻撃、それもDDoS攻撃が原因と見られるシステム障害であった。障害の発生直後に、筆者は知り合いのエンジニアと原因の初動調査を行ったが、モバイル決済アプリやインターネット予約サイトのDNSサーバー[8]が、プライマリー（優先）DNS、セカンダリー（代替）DNSともダウンしており、DDoS攻撃がDNSサーバーに行われていることが強く疑われた。この事例では、10日の17時30分頃からアプリの接続が難しくなり、障害は22時頃まで続き、モバイル決済を用いるユーザーに大きな影響が生じた。同時に、列車のインターネット予約サイトでもアクセス障害が発生するという大規模サービス障害であった[9]。

古くて新しい攻撃手法DDoSで狙われる金融サービス

　サイバー攻撃の中でも、DDoS攻撃は先に述べたように古くからある攻撃手法で、乗っ取ったIT機器群（ボットネット）から大量の通信を送り込むことで、相手側のIT機器を過負荷に追い込み麻痺させるやり方である。古くから認知されているだけに技術的な対策も進歩しており、アクセス遮断以外にCDN（コンテンツの分散配信）やWAF(ウェブ・アプリケーション・ファイアウォール)などの対策がある。しかし、最近発生しているDDoS攻撃は、攻撃への対策が進んでいるITシステムそのものを狙うのでは無く、対策の難しいDNSサーバーを標的とした、先の交通系決済アプリの事例のようなDDoS攻撃が増えている。

　2023年は、金融サービスに限らず、日本に対するDDoS攻撃が多数発生した1年であった。一年間のサイバー攻撃情勢をとりまとめて毎年公表している警察庁は報告書の中で、2023年はDDoS攻撃によるWebサイトの閲覧障害が複数発生し、そのうち3月から6月にかけて発生した攻撃では、DNS権威サーバー[10]を狙ったランダムサブドメイン攻撃により閲覧障害が発生したと分析している[11]。このランダムサブドメイン攻撃はDDoS攻撃の中でも新しい手法で、標的となる企業の実在のサイト(例えば、xx.co.jp)のDNSサーバーに対して、存在しないサブドメイン（例えば、subxx.xx.co.jp）をランダムに生成して大量に問い合わせを行い、権威DNSサーバーを過負荷にして機能停止を行う攻撃である。

　ランダムサブドメイン攻撃のような、新しいタイプのDDoS攻撃が行われた場合、数時間から半日にわたってシステム障害が発生することが多く、古くて新しいDDoS攻撃の手法が、社会を支えるITサービス、なかんずく、インターネットプロトコールを利用しているアプリ・ベースのサービスに脅威となっている。

　国外に目を転じてみると、日本と同様、金融サービスを標的としたDDoS攻撃は増加している。米金融ISACは、長年DDoS攻撃の対策サービスを提供してきた米セキュリティ大手のAkamaiと共同で、米金融機関へのDDoS攻撃が、2022年から2023年にかけて154％と急激に増加しているとの分析レポートを24年3月に発表した[12]。同レポートによると、Akamaiが観測したDDoS攻撃の35％が金融サービスを標的としており、その割合は2022年以降比率が増加傾向にある。また、攻撃手法として、DNSサーバーを攻撃対象とするDNSフラッド攻撃[13]が全体の55％と過半を占めており、なかでも擬似ランダムサブドメイン攻撃が使われていると指摘している[14]。従来主流だった金銭目的のDDoS攻撃から、地政学的な嫌がらせを目的とした国家が支援するハクティビスト[15]によるDDoS攻撃への移行が見られるとも分析している[16]。

攻撃の背景にある地政学的な環境変化

　このような金融サービスを標的としたDDoS攻撃の背景には、2022年のロシアのウクライナへの侵攻以後の、ロシアと西側社会との地政学的な対立の激化がある。Akamaiと米金融ISACのレポートが指摘しているように、攻撃者は政治的な動機に基づいて、相手国社会の混乱を引き起こすことを目的として攻撃を行っており、政府機関、公共交通機関、金融サービスを標的として、一時的にこれらのサービスを停止させることを狙っている。

　実際に、親ロシア派のハクティビストNoName057とKillnetと名付けられたグループは、欧米を始めとした西側の国々に名指しでDDoS攻撃を行っており、ウクライナ戦争の開戦直後の約半年で、表のように政府機関や交通機関、金融機関を標的として攻撃に成功したと喧伝している。日本でも2022年9月に政府機関を始めとして、金融機関、地下鉄、SNSなど広範囲にDDoS攻撃が行われた。

表：Killnetが犯行声明を出したDDoS攻撃（22年3月〜9月）

出典：Killnet Telegram・報道等より著者作成

　NoName057やKillnetは周期的に攻撃を活発化させる傾向にあり、ウクライナ戦争の開戦周年にあたる2月中旬、ロシアの対独戦勝記念日前後の5月中旬、ロシアの対日戦争記念日を挟んだ9月上旬は攻撃が増加する。日本でも23年と24年の2月に複数の企業・自治体に対するDDoS攻撃が観測されている。また、23年5月中旬には、法務省・出入国管理庁や日本郵政に対してDDoS攻撃が発生している。今回5月10日に発生した交通系決済アプリの金融サービスに対するDDoS攻撃は、犯行声明は現時点で出されていないものの、タイミングからしてロシア系ハクティビストによる政治的な動機による攻撃の可能性が高い。

　このような地政学環境変化かを背景に、今後も、国民生活の基盤である金融サービスに対して、政治的動機からのサイバー攻撃が続くと思った方が良い。攻撃者の意図は市民生活の混乱を引き起こすことにあるので、その目的を達成させないためにも、政府や企業による状況監視や対策強化はもちろん必要だが、我々国民も、いざという時に慌てないようにレジリエンス（困難を乗り越える力）を高める必要がある。デジタルは便利だが、モバイルアプリだけに依存するのではなく、現金も少しは持ち歩くなど、アナログによるバックアップの重要性を認識してほしい。

(2024/06/03)

＊こちらの論考は英語版でもお読みいただけます。
Financial Services Targeted by Cyberattacks: Changes in the Geopolitical Environment and the Increase in DDoS Attacks