銀行が8カ月間で2度もハッキングされ約3億円を盗まれる

アメリカのバージニア州にあるナショナルバンク・オブ・ブラックスバーグは8カ月という短期間でハッカーに2度侵入され、総額240万ドル(約2億7000万円)が不正に引き出されてしまうという事件が発生しました。記事作成時点で同行はハッキング被害の損失補填額が十分でないとして、保険会社に対して訴訟を起こしています。

Hackers Breached Virginia Bank Twice in Eight Months, Stole $2.4M — Krebs on Security
https://krebsonsecurity.com/2018/07/hackers-breached-virginia-bank-twice-in-eight-months-stole-2-4m/

ナショナルバンク・オブ・ブラックスバーグによると、2016年5月に同行の従業員がフィッシングメールを受信し、安易に開いてしまったことで最初の被害が発生。この電子メールが従業員のPCにマルウェアをインストールした後、ハッカーがこの従業員のPCに侵入。そして従業員のPCに侵入したハッカーは、別のコンピューターへのハッキングを開始しました。

ハッカーがハッキングを行ったコンピューターはデビッドカード取引などを処理するSTARネットワークにアクセスするために使用されており、同行の顧客口座などを管理する機能も有していたそうです

ハッカーは週末の従業員が勤務していない時間帯にこのコンピューターを操作することで、顧客の暗証番号、1日の引き出し額の上限、デビッドカードの使用制限などのセキュリティ機能を変更。さらに56万9000ドル(約6300万円)以上を銀行から盗み出してしまいました。

週明けにハッキング被害を知ったナショナルバンク・オブ・ブラックスバーグはサイバーセキュリティの専門家を呼び、事件を調査。セキュリティ専門家によると、ロシアのIPアドレスからハッキングが行われていたそうです。同行は今後のハッキング被害を防ぐための再発防止策として、システムのセキュリティ強化を実施しました。

しかし、それから8カ月後の2017年1月にナショナルバンク・オブ・ブラックスバーグの職員がフィッシングメールを開いたことをきっかけに、同様の事件が再発してしまいます。2回目の事件ではSTARネットワークに侵入されることはありませんでしたが、同行のNavigatorシステムがハッキングされてしまい、180万ドル(約2億円)以上が盗まれてしまいました。

ハッキングなどによるセキュリティ被害はシステムのセキュリティ強化で抑えることが可能です。しかし、その発端となるフィッシングメールの対策は従業員一人一人のセキュリティ意識に関わってくる問題のため、この事件は「従業員のセキュリティ教育も重要である」という意味で好例であるといえます。

今回、ナショナルバンク・オブ・ブラックスバーグが保険会社に対して起こしている訴訟は、2回目のハッキング被害に対する保険会社の損失補填額の上限が25万ドル(約2800万円)と被害額をはるかに下回っていることが発端となって開始されています。