金融機関におけるセキュリティの脆弱性３年４組現在、私たちの多くはお金を銀行に預けていて、また、クレジットカードやデビットカードである電子マネーを使っている。つまり、世界中の人々が、銀行やクレジットカード会社などの金融機関に頼っているのである。では、その多くの人にとって重大な役割を果たしている機関のお金が盗まれてしまい、それらのお金が使えなくなってしまったらどうなるのか。確実に、それらの機関に頼っている人たちは混乱してしまうだろう。実際、そのようなことは頻繁に起きているのである。ここでは、実際に起きた事件を３つ挙げて説明する。１つ目は、バングラデシュの Sonali Bank がサイバー犯罪に会ったという事件である。何者かが銀行のセキュリティシステムに侵入し、お金をトルコに対して送金した。具体的には、Sonali Bank のとある支店でバングラデシュ顧客の口座を経由して同行イギリス支店に送金された記録があり、そのお金はイギリスのハッカーに盗まれ、トルコに送金されている。被害額は２５万米ドル。しかも気づいた経緯は、再度送金をしようとして残高不足だったためイギリス支店から問い合わせを受けたことによる。つまり、銀行内のチェック機能は働いていなかったことになる。また、Sonali Bank 頭取のコメントによると、事件当時は必要なソフトウェアが導入されていなかったことからわかるように、セキュリティの甘さが読み取れる。２つ目は、世界中の ATM で短時間の間に大金が盗まれたという事件である。24 もの国の共犯者たちと緻密で正確な分業を行うことで、この泥棒たちは約 4500 万ドル(約 45 億円)もの大金をたったの数時間で盗み出した。ニューヨーク単体で見ても、2 月 19 日の窃盗開始から 10 時間の間に、2904 台もの ATM から合計 240 万ドル(2 億 4 千万円)を盗んだのである。犯行には腕利きハッカーの関与が疑われており、カード情報を盗みだしそれを使って街の ATM からお金を引き出した。手順は次の通りである。最初の犯行では、ハッカーは VISA と MasterCard のデビットカードを扱う、インドの小さな会社のシステムに侵入した。これらの会社のセキュリティは金融機関のものほど安全ではないと考えられるので、サイバー犯罪者にとっては魅力的なもののようであった。その後、ハッカーは MasterCard の一度に引き出せる限度額を無制限にした。1 度クレジットカードの限度額が無くなってしまえば、少数の銀行口座のデータしかなくとも、たくさんの金額を引き出すことができる。それを繰り返し、彼らは４５００万ドルを盗み取ったのである。３つ目は、クレジットカード及びデビットカードを扱う金融機関がハッキングされた事件である。４５万６０００人の顧客情報が盗まれ、それに伴う不正請求は１億ドルに迫る勢いである。ハッカーたちは、携帯在庫管理端末、レジ、店舗内のコンピュータの間を飛び交うデータを、ラップトップコンピュータにより解読し、１０００マイルも離れた同社の本社にある中央データベースに侵入する方法を見つけたのだった。侵入口となったのは、情報セキュリティがずさんなまま接続された、時代遅れの無線ネットワークであった。その時代遅れの技術は、多くの個人が自宅用に利用しているワイヤレスネットワーク用のセキュリティにも劣る代物だといわれている。これらの３つの事件からわかることは、金融機関におけるセキュリティの脆弱性である。では、そのセキュリティをどう強化すればいいのか。多くの金融機関において、セキュリティ基準を全て満たしているのはほとんど無いのが現状である。その主な理由として、セキュリティ強化のためのコストがかかりすぎることにある。しかし、ハッキングされ、顧客に損害賠償金を払い、最悪の場合、倒産してしまうことを考慮すると、セキュリティのための多少のコストは避けられないというのが現状である。このような状況下で、今、重要視されているのが、善意を持つハッカーであるホワイトハッカーの雇用である。しかし、彼らはまだまだ少ない。また、現在、大学では、ホワイトハッカー育成のための授業を設けているところもあるが、受講者は少ないのが現状である。そこで、出来るだけ若い世代から興味を持ってもらえるように、中学高校生向けのセミナー開講や高等教育上で、現代におけるサイバー攻撃の事例を教えることで、生徒１人１人がサイバー犯罪に敏感になり、さらには、そのような事件を防ぎたいという思いからホワイトハッカーを目指す人も多くなるはずである。また、現状では、金融機関１社につき１人のホワイトハッカーを雇うべきである。さらに、前述した方法で彼らの数が増えてきたら、金融機関以外にも、そのような対策をとることができる。その結果、サイバー犯罪が激減するはずである。参考文献 http://www.acfe.jp/books/fraud-magazine/an-effective-anti-fraud/inaction-caused-costly-hacking-at-l arge-retailer.php http://ict4djapan.wordpress.com/2014/03/01/%E3%83%90%E3%83%B3%E3%82%B0%E3%83%A9%E3%83%87%E3%82%B7%E 3%83%A5%E3%81%AE%E9%8A%80%E8%A1%8C%E3%81%8C%E3%83%8F%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E3%81%95%E 3%82%8C%E4%B8%8D%E6%AD%A3%E9%80%81%E9%87%91/ http://gigazine.net/news/20130510-thieves-took-45-million/ http://gigazine.net/news/20131206-jpmorgan-chase-hacked/ http://mamori-max.com/securitymax/?p=152