連邦準備制度理事会 サイバーセキュリティと金融システムのレジリエンス報告書 2021-2024 (2024.07)

こんにちは、丸山満彦です。

連邦準備制度理事会（FRB) がサイバーセキュリティと金融システムのレジリエンス報告書を2021年から4年間公表していました。議会への報告となります...

金融分野のサイバー関連の脅威をどのように捉え、どのような規制をし、課題は何か？をまとめていますね...FRBとしてのサイバーセキュリティへの対応状況についてもOIGの活動も含めて記載されていますね...

米国の金融分野のサイバーの動きがコンパクトにまとまっている感じですかね...

 

● Board of Governors of the Federal Reserve System

・2024.07 Cybersecurity and Financial System Resilience Report

 

Cybersecurity and Financial System Resilience Report

サイバーセキュリティと金融システムのレジリエンス報告書

In response to a Consolidated Appropriations Act requirement, the Board will publish this report annually for the next seven years to describe measures it has taken to strengthen cybersecurity in the financial services sector. This report covers the Board’s policies and procedures related to cybersecurity risk management; activities to address cybersecurity risks; and current and emerging cybersecurity threats, including forms of malware and supply chain risks.

統合歳出法（Consolidated Appropriations Act）の要請を受け、理事会会は今後7年間、毎年この報告書を発行し、金融サービス部門のサイバーセキュリティ強化のために講じた措置について説明する。この報告書には、サイバーセキュリティ・リスクマネジメントに関連する理事会の方針と手続き、サイバーセキュリティ・リスクに対処するための活動、マルウェアやサプライチェーン・リスクを含む現在および新たなサイバーセキュリティの脅威が記載されている。

 

2024...

・[PDF]

 

	原文	仮訳
2024	PDF	DOCX	PDF
2023	PDF	DOCX	PDF
2022	PDF	DOCX	PDF
2021	PDF	DOCX	PDF

 

 

 

2024

金融システムのレジリエンスに対する現在または将来の脅威

理事会は、連邦準備制度理事会の内部プログラムやリソース、監督プロセス、金融規制機関や他の政府機関、民間セクターとの連携を通じて、サイバーリスクや新たな脅威を積極的に監視している。金融サービス部門の相互接続性が高く、重要なサービスプロバイダに依存していることから、金融システムのすべての参加者がサイバー脅威に直面している。

高度な持続的脅威の増加により、金融セクターにおける悪意あるサイバー活動の可能性が高まっている。金融機関間のインターネットベースの相互接続の増加や、サードパーティ・サービス・プロバイダーへの依存度の高まりと相まって、こうした脅威は、金融サービス・セクターの1つまたは複数の参加者に同時に影響を与え、潜在的にシステミックな結果をもたらすインシデントにつながる可能性がある。このようなインシデントは、標的とされた企業が通常通りサービスを提供し、業務を遂行する能力に影響を与える可能性があり、業務レジリエンスに対する独自の課題を提示することになる。このようなインシデントは、対象となる企業のデータの機密性、完全性、可用性をも脅かす可能性がある。

進化する脅威の状況や脆弱性を悪用する可能性を考慮し、国内金融機構は準備態勢を強化してきた。理事会および他の連邦銀行機関は、これらの脅威に関する動向を注意深く監視しているが、金融セクターへの重大な影響は観測されていない。

地政学的緊張

^[1]  ウクライナやイスラエルで進行中の紛争のような地政学的に好ましくない事象は、金融サービスを含む重要インフラを混乱させたり、公共機関や民間機関の信頼を損なったりすることを意図したサイバー攻撃の脆弱性を高める。特に、DDoS（^[2] ）攻撃は、攻撃が必要とする洗練度が比較的低く、組織が効果的な情報セキュリティとレジリエンス管理をしていない場合、情報システムの可用性を混乱させる可能性があるため、広く観測されている。さらに、破壊的なマルウェアツールや、重要なデータを破壊したり破損させたりするために使用される手法も採用され、観測されている。^[3]  これらの手法は、洗練度と能力が進化している。地政学的な緊張の多くは、金融インフラを標的にするなどして、これらの紛争の参加者の利益を増進または害するためにサイバー攻撃を使用することを目的とする悪意のある行為者の動機と機会を生み出している。

サイバー犯罪活動

世界的なサイバー犯罪のエコシステムは、米国内の金融セクターを含め、地域や業種を問わず、依然として最大の脅威であり続けている。ランサムウェアやサイバー恐喝攻撃が続く中、これらの攻撃は、高度な犯罪者から銀行システムを防御するための十分な情報セキュリティ・リソースや能力を持たない小規模なコミュニティ銀行やリージョナル・バンキング組織に不釣り合いな影響を与える可能性がある。

金融機関の業務遂行能力や顧客データ保護能力にリスクをもたらすサイバー犯罪の手口やリソースの提供には、以下のようなものがある：

• サービスとしてのランサムウェア（RaaS）。脅威行為者がランサムウェアの「フランチャイズ」亜種を作成するRaaSエコシステムは、グループが解散し、時には別の名前で再ブランド化されるなど、依然として動的である。ランサムウェアの運用を妨害することを目的とした法執行機関の活動にもかかわらず、RaaSに関連する攻撃は、2022年から2023年にかけて、分野や地域を問わず前年比で増加した。^[4] この増加の潜在的な理由の1つは、人気のあるランサムウェアの「ビルダー」のリークにより、複数のグループが同様の亜種を使用して攻撃を行うようになったことである。^[5]  さらに、攻撃者は攻撃の範囲と規模を拡大するために技術的能力を進化させ続けている。こうした技術力には、仮想化^[6]  技術に攻撃を向けることや、Progress Software の MOVEit Transfer アプリケーションを標的にしたキャンペーンで見られたようなゼロデイ脆弱性の活用が含まれる。^[7]
• フィッシング。脅威行為者は、将来の悪意ある活動のための初期アクセスを確立し、機密情報を流出させるために、電子メールを標的とするテクニックを進化させ続けている。攻撃者は、マルウェアの配信、フィッシングによる組織の認証情報へのアクセス、またはその他のソーシャルエンジニアリング活動を目的として、電子メールを標的にすることができる。下流への影響としては、ビジネスメール侵害（BEC）やランサムウェアの展開などの攻撃により、組織の資金が窃取される可能性がある。改善されたテクニックの例としては、エンドポイントのセキュリティ制御を覆すより効率的な手段、悪意のあるメッセージにクイックレスポンス（QR）コードを埋め込むこと、ユーザーからワンタイムパスワードを傍受することなどが挙げられる。
• サイバー犯罪に関連するツールのコモディティ化が進む。RaaSに加えて、金銭的な動機に基づく脅威行為者は、金融部門の一部である、または金融部門を支援する組織に対する攻撃で使用される様々な「サービス」を作り出している。こうした「サービス」の例としては、マルウェア・アズ・ア・サービス（MaaS）やフィッシング・アズ・ア・サービス（PhaaS）などがある。脅威行為者は、わずかな金額でこれらの「サービス」を利用することができ、低レベルの攻撃者が中程度に洗練されたキャンペーンを実施することを効果的に可能にしている。脅威行為者はまた、攻撃の効果を高めるために協力し合っている。このような協力の例としては、攻撃者間での情報の売買や、被害者組織への初期アクセスの売買などがある。

^[8]  脅威行為者とセキュリティ研究者の双方による技術情報の共有により、パッチが提供され てから脆弱性が悪用されるまでの期間が短縮され続けている。公表される脆弱性の数が前年比で増加していることからも明らかなように、組織は、進化する脅威に対するセキュリティのために、ITシステムと管理体制を定期的に見直し、更新する必要がある。また、このような悪用活動は、1つのコントロールの破壊が広範な侵害につながらないような、徹底的なセキュリティ防衛態勢の重要性を強調している。

DDoS攻撃は、脅威行為者がさまざまなテクニックを駆使して進化を続けている。これらのテクニックには、特定のアプリケーションやプロトコル設計の弱点を特定し、情報システムの可用性に影響を与えるためにそれらの欠陥を悪用することが含まれる。脅威行為者は、ダークウェブのフォーラムやマーケットプレイスで販売されるDDoSサービスの数を増やすこともできる。技術の進化にもかかわらず、主要なDDoS対策サービスは現在、これらの攻撃を防御するために比較的有利な立場にある。

サードパーティプロバイダに関連するサイバーリスク

金融機関は、重要な業務機能をサードパーティ・サービス・プロバイダに依存するようになってきている。サードパーティ・サービスの利用には利点がある一方で、金融機関内で直接行われない重要なサービスに対する適切な監視を確保するという課題もある。独自または一般に利用可能なソフトウエアを提供するソフトウエア・ベンダー、あるいはその他のサード・パーティに対するサイバー攻撃は、顧客企業に重大な影響を与える可能性がある。昨年、この相互依存リスクは、トレーディング・プラットフォームや住宅ローン・サービシングのエコシステム内の複数のプロバイダに対する攻撃によって浮き彫りになった。^[9]

脅威行為者がソフトウェア・プロバイダに侵入し、その後プロバイダのクライアントを侵害する能力は、サードパーティのベンダー・マネジメントやソフトウェアの自動アップデートに関連しがちな相互依存関係から生じるリスクを浮き彫りにしている。これには、SaaS（Software-as-a-Service）も含まれる。SaaSは、ソフトウェア・プロバイダとクライアント企業の間の継続的な接続であり、製品は定期的にリモートで更新される。サードパーティ・ソフトウェア、特にSaaSの利用が銀行業務でますます一般的になるにつれ、サイバーセキュリティ・リスクが増大する。

金融機関がサードパーティへの依存度を高めていることは、こうした機関が重要なサービスを遠隔地のクラウド・コンピューティング・プラットフォームに移行し、コンピューティング能力の向上、コストの削減、技術的専門知識の集中といったメリットを得ていることにも表れている。^[10]  国家安全保障局（NSA）^[11]  、サイバーセキュリティ・インフラセキュリティ庁 (CISA)^[12]  を含む他の政府筋からの様々な出版物は、重要なクラウドセキュリティの実践とともに、悪意のある事業者によるクラウド攻撃を強調している。これらのプラクティスには、クラウド共有責任モデルの支持、安全なクラウド・アイデンティティ・アクセス管理の実践、クラウド環境におけるネットワーク・セグメンテーションと暗号化の実装、クラウド環境におけるマネージド・サービス・プロバイダのリスク低減などが含まれる。

脅威行為者は、オンプレミス・テクノロジとクラウド・テクノロジの統合ポイントへの注力を強め るだろう。この焦点には、企業環境へ のアクセス獲得を目的とした、連携 ID プロバイダに対する攻撃が含まれる可能性がある。攻撃者はまた、個々のクライアント環境を分離する役割を果たすクラウド・サービス内の制御の潜在的な弱点を突く可能性もある。これらの「テナント分離管理」は、あるクラウド利用者が他のクラウド利用者のデータ にアクセスできないようにするためのものである。このような制御に問題があると、脅威行為者がクラウド顧客のデータを侵害する可能性がある。

連邦準備制度理事会（FRB）は、サードパーティ依存に伴うリスクに対処するため、財務省をはじめとする官民のパートナーとの協力を続けている。

その他の新技術関連の脅威

フィンテック企業を含むサードパーティ・サービス・プロバイダは、消費者に新しいサービスやより良いサービスを提供する可能性を提供する。具体的には、このような新興技術は、技術に精通したハッカーに悪用されやすい場合が多く、これらの技術の技術的・財務的脆弱性から利益を得ようとする。特に潜在的なリスクは、アプリケーション・プログラミング・インターフェースの金融機構による急速な採用である。アプリケーション・プログラミング・インターフェースは、企業の情報へのアクセス可能なゲートウェイ（情報共有のためにフィンテック・プラットフォームに依存することが多い）を提供するものであり、効果的に保護され許可されていなければ、データ漏えい、特に顧客の個人情報や機密情報のリスクを高める可能性がある。

新たなテクノロジーの中でも、人工知能（AI）、機械学習、大規模言語モデルは、金融セクターにおいて有望な機会であると同時に大きな脅威でもある。これらのモデルが膨大なデータセットを分析し、複雑なパターンを検知する能力は、市場の理解や金融の安定にプラスの影響を与える可能性がある。これらの能力はまた、サイバーセキュリティの懸念、アルゴリズムのバイアス、倫理的な使用に関する疑問といった重大なリスクももたらす。こうしたシステムが成熟していくにつれ、こうしたリスクを軽減するための措置を講じることが重要になっていくだろう。

AI機能の潜在的な利点には、侵入検知やデータ損失防止などがあるが、悪意のある行為者がAIツールを採用することは、金融セクターの組織にとって新たな脅威となる：

• 攻撃者は生成的AIを使用して、フィッシングやテキストベースのスミッシング攻撃を含むソーシャルエンジニアリングキャンペーンの効果を高めることができる。これにより、脅威行為者は、攻撃チェーンのさらなるステップを実行するために使用できるユーザー認証情報を含む機密情報を取得できるようになる可能性がある。
• 音声クローン作成サービス^[13] は、脅威行為者が、一部の金融部門組織が顧客アカウントの保護に使用している音声検証などの既存の制御を回避できるようにする可能性がある。
• 多くの大規模な言語モデルは、悪意のある目的に使用されないようにガードレールを提供しているが、脅威行為者は潜在的にガードレールを回避し、生成的AIを使用して作戦に使用するマルウェアを作成する可能性がある。

量子コンピューティングは、もう一つの重要な新たなリスク領域であり、量子コンピューティング能力は、金融機構が使用している現行の暗号化標準を時代遅れにする可能性がある。耐量子暗号の序文は、静止時および転送時のデータの完全性と機密性を保護するための新たなソリューションを提供するが、同時に脅威行為者に検知を回避し、データの流出を可能にする新たな能力を与えることになる。いくつかの機関は、量子コンピューティングに関連する暗号リスクに備えるために、機構が今すぐできる対策を強調している。例えば、2023年にサイバーセキュリティ・インフラセキュリティ庁（CISA）、国家安全保障局（NSA）、および

国立標準技術研究所（NIST）は「量子即応性（Quantum-Readiness）」を発表した：同書は、量子暗号の能力について機構に情報を提供し、耐量子暗号の移行に備えるために「量子対応ロードマップ」を制定することで、機構が今取るべき積極的なアプローチを促進するものである。^[14]

このような脅威は、リスクを理解し軽減するための対策を進める上で、政府全体の集団行動と民間部門との強力な協力の重要性を浮き彫りにしている。サイバーリスクの低減とサイバーレジリエンスへの取り組みは、連邦準備制度理事会（FRB）にとって引き続き最優先事項である。政策立案、金融機関や連邦準備制度理事会（FRB）が監督・運営するその他の事業体に対する監督、サイバー脅威の軽減を目的とした内部政策を通じて、連邦準備制度理事会は引き続き強固な内部レジリエンス態勢を維持し、金融セクター全体のレジリエンスを促進している。

-----

 

[1] 米国財務省、2022年年次報告書参照：Financial Stability Oversight Council (Washington: Department of the Treasury, 2022), https://home.treasury.gov/system/files/261/FSOC2022AnnualReport.pdf。

[2] NISTは、DDoSを多数のホストを使用してサイバー攻撃を行うサービス拒否手法と定義している。2023 Key Cybersecurity Takeaways」State of New Jersey, December 2, 2023, https://www.cyber.nj.gov/Home/Components/News/ News/998/214 and U.S. Department of Homeland Security, Homeland Threat Assessment 2024 (Washington: Department of Homeland Security, 2023), https://www.dhs.gov/sites/default/files/2023-09/23_0913_ia_23-333ia_u_homeland-threat-assessment-2024_508C_V6_13Sep23.pdf を参照。

[3] サイバーセキュリティ・インフラセキュリティ庁、「『悪名高いChisel』マルウェアを使用するロシアのサイバー行為者に関する報告書を米国と国際的パートナーが公表」、ニュースリリース、2023年8月31日、https://www.cisa.gov/news-events/news/usand-international-partners-release-report-russian-cyber-actors-using-infamous-chisel-malware 参照。

[4] 米国司法省、「U.S. Department of Justice Disrupts Hive Ransomware Variant」、ニュースリリース、2023年1月26日、https://www.justice.gov/opa/pr/us-department-justice-disrupts-hive-ransomware-variant。

[5] サイバーセキュリティ・インフラセキュリティ庁「ランサムウェアの脅威行為者を理解する」参照：LockBit」ニュースリリース、2023 年 6 月 14 日、https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-165a。

[6] サイバーセキュリティ・インフラセキュリティ庁、「ESXiArgs ランサムウェア復旧ガイダンス」、ニュースリリース、2023 年 2 月 7 日、https://www.cisa.gov/news-events/alerts/2023/02/07/cisa-and-fbi-release-esxiargs-ransomwarerecovery-guidance 参照。

[7] サイバーセキュリティ・インフラセキュリティ庁「#StopRansomware」参照：CL0P Ransomware Gang Exploits CVE-202334362 MOVEit Vulnerability、ニュースリリース、2023年6月7日、https://www.cisa.gov/news-events/cybersecurity-advisories/ aa23-158a。

[8] サイバーセキュリティ・インフラセキュリティ庁「#StopRansomware」を参照のこと：LockBit 3.0 Ransomware Affiliates Exploit CVE 2023-4966 Citrix Bleed Vulnerability」ニュースリリース、2023年11月21日、https://www.cisa.gov/news-events/ cybersecurity-advisories/aa23-325a。

[9] Harry Robertson, "ION brings clients back online after ransomware attack - source," Reuters, February 7, 2023, https://www.reuters.com/technology/ion-starts-bring-clients-back-online-after-ransomware-attack-source-2023-02-07/. EquiLend hack raised costs as traders flying blind, sources says.Recent Cyberattacks Impact Financial Services Sector," State of New Jersey, February 22, 2024, https://www.cyber.nj.gov/Home/Components/News/News/1192/214 を参照。

[10] 米国財務省『金融サービス部門の現状』参照。

[11] 国家安全保障局、「NSA Releases Top Ten Cloud Security Mitigation Strategies」、ニュースリリース、2024年3月7日、https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3699169/nsareleases-top-ten-cloud-security-mitigation-strategies/。

[12] Cybersecurity and Infrastructure Security Agency, "CISA and NSA Release Cybersecurity Information Sheets on Cloud Security Best Practices," news release, March, 7, 2024, https://www.cisa.gov/news-events/alerts/2024/03/07/cisaand-nsa-release-cybersecurity-information-sheets-cloud-security-best-practices.

[13] マイケル・アトレソン「チャットボット、ディープフェイク、音声クローン：AIによる欺瞞の販売」ビジネスブログ、2023年3月20日、https://www.ftc.gov/business-guidance/blog/2023/03/chatbots-deepfakes-voice-clones-ai-deception-sale。

[14] 国家安全保障局「量子対応」参照：Migration to Post-Quantum Cryptography」ニュースリリース、2023年8月21日、https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3498776/postquantum-cryptography-cisa-nist-and-nsa-recommend-how-to-prepare-now/。

 

---

 

2023

金融システムのレジリエンスに対する現在または将来の脅威

理事会は、監督プロセス、連邦準備制度理事会の内部プログラムやリソース、金融規制機関や他の政府機関、民間セクターとの連携を通じて、サイバーリスクや新たな脅威を積極的に監視している。金融サービス部門の相互接続性が高く、重要なサービスプロバイダに依存していることから、金融システムのすべての参加者がサイバー脅威に直面している。

高度な持続的脅威の増加により、金融セクターにおける悪意あるサイバー活動の可能性が高まっている。金融機関間のインターネットベースの相互接続の増加や、サードパーティ・サービス・プロバイダへの依存度の高まりと相まって、こうした脅威は、金融サービス・セクターの1つまたは複数の参加者に同時に影響を与え、潜在的にシステミックな結果をもたらすインシデントにつながる可能性がある。このようなインシデントは、標的とされた企業が通常通りサービスを提供し、業務を遂行する能力に影響を与える可能性があり、業務レジリエンスに対する独自の課題を提示することになる。このようなインシデントは、対象となる企業のデータの機密性、完全性、可用性をも脅かす可能性がある。

進化する脅威の状況と脆弱性を悪用する可能性を考慮し、国内金融機構は備えを強化した状態を維持している。理事会および他の金融庁は、これらの脅威に関する動向を注意深く監視しているが、金融セクターへの重大な影響は確認されていない。

地政学的緊張

金融セクターは、グローバルな金融市場が相互につながっており、国際的なデジタル・ネットワークに依存しているため、直接的・間接的に、外国の紛争や国家主体の活動に対して脆弱性を持つ可能性がある。ロシアのウクライナ侵攻のような地政学的に不利な出来事は、金融サービスを含む重要なインフラを混乱させたり、公的・民間部門の機構に対する信頼を損なったりすることを意図したサイバー攻撃の可能性を高める。特に、分散型サービス妨害（DDoS）^[1]  攻撃は、攻撃が必要とする洗練度が比較的低く、組織が効果的な情報セキュリティとレジリエンス対策をとっていない場合、情報システムの可用性を阻害する可能性があるため、広く観測されている。さらに、破壊的なマルウェア（^[2]  ）ツールや、重要なデータを破壊または破損するために使用される手法も採用され、観測されている。これらの手 法は洗練され、能力を増している。

サイバー犯罪活動

世界的なサイバー犯罪のエコシステムは、米国内の金融セクターを含め、地域や業種を問わず、依然として最大の脅威であり続けている。ランサムウェアやサイバー恐喝攻撃が続く中、これらの攻撃は、洗練された行為者から銀行システムを防御するための十分な情報セキュリティ・リソースや能力を持たない可能性のある小規模なコミュニティ銀行やリージョナル・バンキング組織に不釣り合いな影響を与える可能性がある。脅威行為者を特定し、訴追し、攻撃プラットフォームを破壊するために法執行機関が行っている行動を含む多くの理由により、脅威行為者が出現し、解散しているため、ランサムウェアグループの数とその活動は動的である。ランサムウェアグループは、サイバー攻撃を収益化し、被害者組織に最大限の圧力をかけようとするため、そのテクニックと手法を進化させ続けている。

金融機関の業務遂行能力や顧客データ保護能力にリスクをもたらすサイバー犯罪の手口やリソースの提供には、以下のようなものがある：

• サービスとしてのランサムウェア（RaaS）。従来のランサムウェアと同様、RaaSは、高度化、拡散のスピード、帰属の難しさを増し、懸念が高まっている。RaaSにより、脅威行為者は「フランチャイズ化された」脅威を提供することができる。洗練された脅威行為者は、多くの場合、身代金のパーセンテージで、他の悪意ある行為者にソフトウェアの使用をライセンスする。この進化した脅威モデルにより、洗練されていない脅威行為者がビジネスに影響を与える機会が増える。身代金の支払いを拒否した組織は、多くの場合、事業を復旧させるためにインフラを再構築する必要がある。
• 認証メカニズムの弱点を狙った脅威。一要素認証は、クレデンシャル・ベースの攻撃や、場合によってはダーク・ウェブ・フォーラムでのクレデンシャルの可用性攻撃により、ほとんど不十分である。こうした弱点の結果、MFAに移行した組織もある。2022年、脅威行為者はいくつかのテクニックを駆使して、より脆弱な形態のMFAを回避する能力を大幅に向上させた。MFA を導入している組織は、脅威行為者の能力を常に認識し、可能な限りより強固な MFA の形態に移行する必要がある。2021 年、FFIEC は「金融機関のサービスとシステムへの認証とアクセス」を発行し、システ ムと情報を保護するための MFA の利点と有効性の向上を強調している。^[3]
• サイバー脅威関係者間の連携。脅威行為者は、より効果的かつ効率的な攻撃を可能にするために、連携能力を改善し続けている。サイバー犯罪者は、情報だけでなくツールやサービスも頻繁に共有したり販売したりして、攻撃のハードルを下げ、他者や、特に中・下層のアクターがこうした攻撃に従事しやすくしている。

脅威行為者がソフトウェアの脆弱性を悪用するには、いくつかの方法がある。悪意ある行為者は、「ゼロデイ」脆弱性（パッチが提供されていない）と「nデイ」脆弱性（パッチは提供されているが、まだ適用されていない）の両方を悪用し続けている。脅威行為者やセキュリティ研究者は、脆弱性が発見されてから数時間から数日以内に脆弱性に関する詳細な情報を公表しているため、パッチが利用可能になってから脆弱性を悪用するまでの期間は短縮され続けている。このことは、1つの管理体制の破綻が広範な侵害につながらないような、徹底したセキュリティ防御態勢の重要性を強調している。

サプライチェーンやサードパーティによる攻撃の可能性が高まる

重要な進化を遂げるリスクは、上記の脅威の種類と相まって、ソフトウェアベンダーやサードパーティに対するサイバー攻撃の影響である。サプライチェーンの侵害は、サードパーティが提供するソフトウェアを通じて金融システムに影響を与える可能性がある。これにはプロプライエタリ・ソフトウェアだけでなく、オープンソースソフトウェアも含まれる。

脅威行為者がソフトウェア・プロバイダに侵入し、その後、侵入されたプロバイダのソフトウェアを使用して、プロバイダの顧客企業を侵害する能力は、サードパーティ・ベンダーの管理や自動化されたソフトウェア・アップデートの適用に関連しがちな相互依存関係から生じるリスクを浮き彫りにしている。これには、SaaS（Software-as-a-Service）も含まれる。SaaSは、ソフトウェア・プロバイダとクライアント企業の間の継続的な接続であり、製品は定期的にリモートで更新される。サードパーティ・ソフトウェア、特にSaaSが銀行業務でますます一般的になるにつれ、サイバーセキュリティ・リスクが増大する。

昨年はまた、この業界のサプライチェーンとサードパーティとの関係のレジリエンスを見直すことの重要性をさらに高めた。CISAが強調したように、攻撃者が影響を受けたシステムを乗っ取ることを容易にする新たな脆弱性が発生した。^[4]  攻撃者がこれらの脆弱性を悪用してデータを盗み、組織をさらに危険にさらす可能性があることが報告されている。

サードパーティプロバイダに関連するサイバーリスク

金融機関は、重要な業務機能をサードパーティ・サービス・プロバイダに依存するようになってきている。そのようなプロバイダはまた、金融機関の業務運営にとって重要な機能を担うようになってきている。サードパーティ・サービスの利用には利点もあるが、顧客金融機関内で直接行われない重要なサービスに対する適切な監視を確保するという課題もある。あるプロバイダにおける脆弱性は、複数の顧客金融機関に同時に影響を及ぼす可能性もある。

金融機関がサードパーティへの依存度を高めていることは、こうした機関が重要なサービスを遠隔地のクラウド・コンピューティング・プラットフォームに移行し、コンピューティング能力の向上、コストの削減、技術的専門知識の集中といったメリットを得ていることからもわかる。財務省は2023年、金融サービス部門によるクラウド・サービスの導入に関する動向と、潜在的なリスクやその他の課題についてまとめた報告書を発表した。クラウド戦略を安全に実施する上での課題としては、デューデリジェンスやモニタリングをサポートする透明性の不足、クラウドサービスを安全に展開するための人材やツールの不足、潜在的な運用インシデントへのエクスポージャー、市場集中の潜在的影響、市場集中に伴う契約交渉の力学、国際的な状況や規制の分断などが指摘されている。データ漏洩の最も一般的な原因は、顧客金融機関によるサービスの設定ミスであった。これは、顧客金融機関とベンダーがサービスの様々な側面の設定について責任を共有し、顧客がその責任を理解していない場合に発生する。^[5]

金融機関はまた、重要なサービスを遠隔地のクラウドコンピューティング・プラットフォームに移行しており、金融機関が依存するクラウド・サービスにおいてインターネットからアクセス可能な脆弱性が悪用されるリスクもある。連邦準備制度理事会（FRB）は、サードパーティ依存に関連するリスクに対処するため、財務省をはじめとする官民のパートナーとの連携を続けている。

内部者の脅威

金融機関は、コア・バンキング・サービスや業務サポート・システムへのインターネットを介したリモート・アクセスを許可し、リモート作業を許可するアクセス権限の拡大を許可し始めた2020年以降、職員や委託業者に起因するインシデントのリスクが高まっている。MFAなど内部関係者による不正行為を防御するための防御策は、特に設定ミスやシステムの脆弱性が発見された場合など、リスクに対処する上で必ずしも有効ではなかった。内部者の脅威は、金融機関が引き続き監視し、対処する必要のある課題を提示している。

その他の新技術関連の脅威

フィンテック企業を含むサードパーティ・サービス・プロバイダは、消費者に新たなサービスやより優れたサービスを提供する可能性を提供する一方で、悪意ある行為者が個人データにアクセスする機会を増やすことにもなる。具体的には、このような新興技術は、技術に精通したハッカーによって悪用されやすく、これらの技術における技術的・財務的脆弱性から利益を得ようとすることが多い。特に潜在的なリスクは、アプリケーション・プログラミング・インターフェースの金融機構による急速な採用である。アプリケーション・プログラミング・インターフェースは、企業の情報へのアクセス可能なゲートウェイ（情報共有のためにフィンテック・プラットフォームに依存することが多い）を提供するものであり、効果的に保護され許可されていなければ、データ漏えい、特に顧客の個人情報や機密情報のリスクを高める可能性がある。

機械学習ツールの導入と進化は、新たなリスクをもたらす可能性もある。機械学習機能は、侵入検知やデータ損失防止などの情報セキュリティ管理者の自動化の改善を促進する可能性がある。しかし、脅威行為者が機械学習機能を利用してサイバー偵察や攻撃を自動化し、サイバーインシデントの可能性と影響をさらに増大させる可能性もある。生成的人工知能技術を含む機械学習ツールの最近の展開は、企業のシステム、電子メール、データベース、および技術サービスへのアクセスを危険にさらすソーシャルエンジニアリング、電子メールフィッシング、およびテキストメッセージングスミッシング攻撃を実行するための改良された方法を脅威行為者に提供する可能性もある。

量子コンピューティングはもう一つの新たなリスク分野であり、量子コンピューティングの能力は、金融機構が使用している現行の暗号化標準を時代遅れにする可能性がある。耐量子暗号の序文は、静止時および転送時のデータの完全性と機密性を保護するための新たなソリューションを提供するが、同時に脅威行為者に検知を回避する新たな能力を与えるだけでなく、データの流出を可能にする。ハードウェアの要件やその他の要因によって、特にレガシー・システムでは、耐量子暗号の普及は現状では難しいかもしれない。

このような脅威は、リスクを理解し、軽減するための対策を進める上で、政府全体の集団行動と民間部門との強力な協力の重要性を浮き彫りにしている。サイバーリスクの低減とサイバーレジリエンスへの取り組みは、連邦準備制度理事会（FRB）にとって引き続き最優先事項である。政策立案、金融機関や連邦準備制度理事会（FRB）が監督・運営するその他の事業体に対する監督、サイバー脅威の軽減を目的とした内部政策を通じて、連邦準備制度理事会は引き続き強固な内部レジリエンス態勢を維持し、金融セクター全体のレジリエンスを促進している。

 

 

[1] NISTは、DDoSを多数のホストを利用してサイバー攻撃を行うサービス拒否手法と定義している。

[2] サイバーセキュリティ・インフラセキュリティ庁「最新情報：ウクライナの組織を狙う破壊的マルウェア」ニュースリリース、2022年4月28日、https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-057a 参照。

[3] 金融機関のサービスおよびシステムへの認証とアクセス」（連邦金融機関審査委員会、2021 年 8 月 11 日、https://www.ffiec.gov/guidance/Authentication-and-Access-to-Financial-InstitutionServices-and-Systems.pdf）を参照のこと。

[4] サイバーセキュリティ・インフラセキュリティ庁「サイバーセキュリティに関する注意喚起と勧告」https://www.cisa.gov/newsevents/cybersecurity-advisories 参照。

[5] U.S. Department of the Treasury, The Financial Services Sector's Adoption of Cloud Services (Washington: Department of the Treasury, 2023), https://home.treasury.gov/system/files/136/Treasury-Cloud-Report.pdf を参照のこと。

 

---

 

2022

金融システムのレジリエンスに対する現在または将来の脅威

理事会は、監督プロセス、連邦準備制度理事会の内部プログラムやリソース、政府機関や民間セクターとの連携を通じて、サイバーリスクや新たな脅威を積極的に監視している。金融サービス部門の相互接続性が高く、重要なサービスプロバイダに依存していることから、金融システムのすべての参加者がサイバー脅威に直面している。

高度な持続的脅威の増加により、金融セクターにおける悪意あるサイバー活動の可能性が高まっている。これらの脅威は、金融サービスセクターの1つ以上の参加者に同時に影響を与え、潜在的にシステミックな結果をもたらすインシデントにつながる可能性がある。このようなインシデントは、標的とされた企業が通常通りサービスを提供し、業務を遂行する能力に影響を与える可能性があり、業務レジリエンスに対する独自の課題を提示する。このようなインシデントは、対象となる企業のデータの機密性、完全性、可用性をも脅かす可能性がある。

よく知られている脅威の一つは、従来型のランサムウェアである。ランサムウェアの拡散は、すべての機構の業務と財務のレジリエンスに脅威をもたらすが、洗練された行為者からシステムを保護するための十分なリソースを持たない可能性のある小規模なコミュニティ・バンキングやリージョナル・バンキング組織に不釣り合いな影響を与える可能性がある。

従来のランサムウェアに加え、その他の高度な機能も、金融機関の業務能力や顧客データ保護にリスクをもたらす可能性がある。

• サービスとしてのランサムウェア（RaaS）。従来のランサムウェアと同様に、サービスとしてのランサムウェア（RaaS）は、高度化、拡散のスピード、帰属の難しさを増し、懸念が高まっている。RaaSによって、脅威行為者は「フランチャイズ化された」脅威の提供を作り出すことができる。洗練された脅威行為者は、多くの場合、身代金のパーセンテージで、他の悪意ある行為者にソフトウェアの使用をライセンスする。この進化した脅威モデルにより、洗練されていない脅威行為者がビジネスに影響を与える機会が増える。身代金の支払いを拒否した組織は、多くの場合、事業を復旧させるためにインフラを再構築する必要がある。
• 洗練されたDDoSの脅威DDoSの脅威は、ターゲットやその周辺のインフラを破壊的なトラフィックで圧倒することで、マシンやネットワークリソースを意図したユーザが利用できないようにするものであるが、これも引き続き懸念される分野である。米国の金融サービス部門に対するDDoSの試みは何年も前から流行しているが、低減および防御サービスは通常、金融機関やサードパーティ、その他の組織に対するリスクを防止、または大幅に低減することができる。

このような脅威の種類に加えて、サイバー脅威組織の連携強化も懸念事項である。このような接続性により、脅威行為者は、悪用される可能性のある脆弱性に関する情報を共有するようになっている。異なる脅威行為者間での情報共有の増加は、脆弱性が発見された後のインシデントを防ぐ機会を減少させるため、新たな懸念となっている。

脅威行為者が上記の脅威タイプを利用する方法はいくつかある。最も一般的な方法の一つは、ソフトウェアに存在する脆弱性を利用するものである。脆弱性は、一般に知られているかどうかにかかわらず、悪意のあるサイバー行為者に、影響を受けやすいシステムを悪用する機会を提供し続けている。洗練されたサイバー集団は、未知の脆弱性を利用する「ゼロデイ」エクスプロイトを開発しようとするかもしれないし、被害者が公表された修正プログラムを適用する前に、公表された新しい脆弱性を迅速に悪用しようとする集団もいる。

こうした懸念に加え、脅威行為者に新たな誘因、攻撃ベクトル、技術の脆弱性を悪用する機会を提供する新たな脅威が数多く出現している。

地政学的緊張の高まり

ロシアのウクライナ侵攻のような地政学的な出来事は、金融サービス部門を含む重要インフラに影響を与える可能性のあるサイバー攻撃の増加の可能性につながっている。脅威が進化し、脆弱性が悪用される可能性があることから、国内金融機関は備えを強化している。理事会および他の連邦銀行機関は、この脅威に関する動向を注意深く監視している。これまでのところ、この脅威に関連して金融セクターのサイバーセキュリティに重大な影響は出ていない。

サプライチェーンやサードパーティによる攻撃の可能性が高まる

進化する重要なリスクは、ベンダーやサードパーティにおけるサイバー攻撃の影響である。上述の脅威の種類と相まって、サプライチェーンの危殆化は、サードパーティーのサービス・プロバイダとの合法的な接続を通じて金融システムに影響を与える可能性がある。ソフトウェア・アズ・ア・サービスは、ソフトウェア・プロバイダとクライアント企業との継続的な接続に依存しており、製品は定期的にリモートで更新される。脅威行為者がソフトウェア・プロバイダに侵入し、その後、侵入したプロバイダのソフトウェアを使用してプロバイダの顧客企業を侵害する能力は、サードパーティ・ベンダーの管理や自動化されたソフトウェア・アップデートの適用に関連しがちな相互依存関係から生じるリスクを浮き彫りにしている。サードパーティ・ソフトウェア、特にSaaS（Software-as-a-Service）が銀行業務でますます一般的になるにつれて、こうしたリスクは増大する。

その他の新技術関連の脅威

暗号通貨取引所、銀行アプリケーション、その他のプラットフォームなどのフィンテック・アプリケーションに潜在するサイバーセキュリティの脆弱性は、脅威行為者に、被害者のコンピュータ・システムや、製品やサービスとのやりとりに使用される技術インフラを侵害することによって、資金やデータを盗む機会を提供する。例えば、デジタル資産の管理は、多くの場合、原資産に結びついた秘密鍵の保護に依存している。したがって、秘密鍵に不正アクセスした脅威行為者は、被害者の救済手段をほとんど講じることなく、原資産を掌握する可能性がある。新たなテクノロジー関連リスクのもう一つの例は、金融機関とサードパーティーの金融テクノロジー・サービス・プロバイダーとの間のデータ共有である。このような取り決めは、消費者に新たなサービスやより優れたサービスを提供する可能性をもたらすが、悪意ある行為者が個人データにアクセスする機会を増やすことにもなる。一般的に、フィンテック・プラットフォームは、ユーザーに新しいデジタル製品やサービスを提供し続けているが、このような新興技術は、これらの技術の技術的・財務的脆弱性から利益を得ようとする技術に精通したハッカーに悪用されやすい場合が多い。

このような脅威は、本報告書に概説されている理事会と連邦準備制度の取り組みの重要性を浮き彫りにしている。サイバーリスクの低減とサイバーレジリエンスへの取り組みは、連邦準備制度理事会にとって引き続き最優先事項である。政策立案、金融機関や連邦準備制度理事会が監督・運営するその他の事業体に対する監督、サイバー脅威の軽減を目的とした内部政策を通じて、連邦準備制度理事会は引き続き内部レジリエンス態勢を強固に維持し、金融セクター全体のレジリエンスを促進している。

 

---

 

2021

金融システムのレジリエンスに対する現在または将来の脅威

理事会は、監督プロセス、連邦準備制度理事会の内部プログラムやリソース、政府機関や民間セクターとの連携を通じて、サイバーリスクや新たな脅威を積極的に監視している。金融サービス部門の相互接続性が高く、重要なサービスプロバイダーに依存していることから、金融システムのすべての参加者がサイバー脅威に直面している。理事会が注目している現在の脅威や新たな脅威には、以下のようなものがある：

• マルウェア：高度な持続的脅威の存在により、悪意のあるサイバーインシデントが発生するが、その特定や完全な根絶は困難であることが多い。このようなインシデントが急速に拡大し、システマティックな影響を及ぼす可能性もある。金融機関に対する破壊的なマルウェアのリスクは、主にランサムウェアによるインシデントである。
  • ランサムウェアランサムウェアは、被害者数、脅威行為者に支払われた身代金の金額ともに急増している。ランサムウェアは、すべての機構の業務および財務のレジリエンスに脅威をもたらす可能性があるが、高度な脅威行為者からシステムを保護するための十分なリソースを持たない可能性のある小規模なコミュニティ・バンキングや地方銀行は、不釣り合いに影響を受ける可能性がある。
  • サービスとしてのランサムウェア（RaaS）：従来のランサムウェアと同様に、RaaSは、洗練され、拡散のスピードが増し、アトリビューションが困難になっている。RaaSにより、脅威行為者は「フランチャイズ化された」脅威を提供できるようになる。洗練された脅威行為者は、多くの場合、身代金のパーセンテージで、他の悪意ある行為者にソフトウェアの使用をライセンスする。この新たな脅威モデルにより、洗練されていない脅威行為者にも企業に影響を与える機会が増える。身代金の支払いを拒否した組織は、多くの場合、事業運営をオンラインに戻すためにインフラを再構築する必要がある。
• サプライチェーンのリスク：脅威行為者がベンダーやサードパーティを通じて信頼できるソフトウェアを侵害するタイプの悪用も増加傾向にある。ランサムウェアと相まって、サプライチェーンの侵害は、サードパーティのサービス・プロバイダとの合法的な接続を通じて金融システムに影響を与える可能性がある。ソフトウェア・プロバイダにおける最近の侵害は、サードパーティ・ベンダの管理や自動化されたソフトウェア・アップデートの適用に関連しがちな相互依存性を浮き彫りにしている。
• 洗練されたDDoSの脅威：DDoSの脅威はすでに確立された懸念分野である。金融機関は、サービスを混乱させ、ビジネス機能に悪影響を及ぼすことを意図した分散型インシデントの標的となっている。このようなインシデントは、国家グループによる政治的声明を伝えたり、他のインシデントのためのミスディレクションとして機能したり、あるいは単にスキルの低い脅威行為者が使用する嫌がらせ戦術であったりする。米国の金融サービス部門に対するDDoSインシデントは何年も前から流行しており、低減および防御サービスは通常、金融機関、サードパーティ、およびその他の組織に対するリスクを防止、または大幅に低減することができる。このような攻撃の影響はさまざまであり、標的とされた企業がサービスを提供し、通常通りビジネスを行う能力に影響を与えることも多く、オペレーションのレジリエンスに対するユニークな課題となっている。
• サイバー脅威の高度化：サイバー脅威組織の複雑化・高度化は、金融システムに対するサイバー脅威の数や深刻度が潜在的に影響するため、さらなる懸念分野となっている。脆弱性ソフトウエアの接続性が高まり、コミュニケーションが共有されるようになったことで、脅威行為者はこの知識を活用して共有情報を作り出す。脅威行為者はしばしば情報や戦術を共有し、その効果を高めている。サイバー脅威の高度化は新しい問題ではないが、情報共有の増加は、脆弱性が発見された後のインシデントを防ぐ機会を減少させるため、新たな懸念となっている。

理事会は、サイバー脅威が金融システムにもたらすシステミック・リスクを認識している。そのため、サイバーリスクの低減とサイバーレジリエンスへの取り組みは、連邦準備制度理事会にとって引き続き最優先事項である。