金融業界は、国の経済を支える重要インフラとして、常に攻撃者の標的となっています。近年、その手口はますます巧妙化・悪質化しており、ひとたび攻撃を受ければ、金銭的な被害はもちろん、顧客からの信頼失墜やブランドイメージの低下など、計り知れないダメージにつながりかねません。
「うちは大丈夫」という油断は禁物です。本記事では、2025年に実際に発生した金融機関へのサイバー攻撃の中から、特に注目すべき5つの事例をピックアップし、その手口と対策を解説します。

この記事でわかること

  • 金融機関を狙う最新のサイバー攻撃(DDoS、サプライチェーン攻撃、フィッシング)の具体的な手口
  • 実際の被害事例から学ぶべき実践的なセキュリティ対策
  • 自社のセキュリティ体制を見直すための具体的なチェックポイント

この記事を監修した人

増井敏克

増井敏克

増井技術士事務所 代表

技術士(情報工学部門)、テクニカルエンジニア(ネットワーク、情報セキュリティ)、その他情報処理技術者試験にも多数合格。また、ビジネス数学検定1級に合格し、公益財団法人日本数学検定協会認定トレーナーとしても活動。「ビジネス」×「数学」×「IT」を組み合わせ、コンピュータを「正しく」「効率よく」使うためのスキルアップ支援や、各種ソフトウェアの開発を行っている。著書に『IT用語図鑑』『図解まるわかり セキュリティのしくみ』『どうしてこうなった?セキュリティの笑えないミスとその対策51』『「技術書」の読書術』『実務で役立つ ログの教科書』など。

事例1:止まらない個人情報の流出 - 証券口座乗っ取り被害の急増(日本)

何が起きたのか(攻撃手法:情報窃取型マルウェア、パスワードリスト攻撃)

2025年、日本の大手証券会社を舞台に、顧客の証券口座が第三者に乗っ取られる被害が相次いで発生しました。楽天証券や野村證券といった誰もが知る企業を含む少なくとも6社が被害を公表し、金融庁が調査に乗り出す事態にまで発展しました。
攻撃者は、どこからか入手したIDとパスワードを用いて不正にログインし、顧客の資産を狙ったのです。

なぜこんなことが起きたのか

この攻撃の背景には、複数の手口が組み合わされています。
一つ目は「フィッシング詐欺」です。攻撃者は偽の証券会社サイトに誘導し、ユーザーが入力したIDとパスワードを盗み取ります。

二つ目は「情報窃取型マルウェア」による攻撃です。業務連絡を装ったメールの添付ファイルや、正規のウェブサイトに見せかけた偽サイトからのダウンロードなどを通じて利用者のパソコンに侵入し、保存されている認証情報を盗み出します。

金融庁の報告によれば、2025年1月から5月末までに不正取引の件数は5,958件、売買額は5,240億円に達しており、被害が急速に拡大しています。これらはいずれもユーザーの判断の隙をついた非常に厄介な手口です。

さらに、情報窃取型ウイルスは、業務連絡を装ったメールの添付ファイルや、正規のウェブサイトに見せかけた偽サイトからのダウンロードなどを通じて、従業員のパソコンに侵入します。一度侵入されると、IDやパスワード、クレジットカード情報などを盗み出され、それが売買されるという悪循環が生まれるのです。これは、フィッシング攻撃の一種で、ユーザーの判断の隙をついた非常に厄介な手口です。

※参考:「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」(金融庁)

学ぶべきポイント

パスワードは複雑に、そして使い回さない

サービスごとに異なる複雑なパスワードを設定し、パスワード管理ツールを活用します。さらに、対応している証券会社では「パスキー」の利用を推奨します。パスキーは、生体認証(指紋や顔認証)などを使った新しい認証方式で、パスワードよりも安全性が高く、フィッシング詐欺にも強いしくみです。

多要素認証(MFA)の導入

IDとパスワードに加え、別の要素による認証を追加します。例えば、スマートフォンアプリやSMSでのワンタイムパスワード、生体認証(指紋や顔認証)、セキュリティキーなどがあります。認証の三要素(知識・所有・生体)のうち、二つ以上を組み合わせることで、セキュリティを大幅に強化できます。

従業員教育の徹底

不審なメールは開かない、安易にリンクをクリックしないといった基本的なリテラシーを全員で共有します。

masuipeo

監修:増井さん

この金融機関における被害について、利用者としてできる対策として、上記の他に「ログイン履歴の確認」があります。定期的にログインして、不審なログイン履歴がないか、前回のログイン日時などを確認するようにしましょう。

事例2:取引先は大丈夫? - Marquis社ランサムウェア攻撃(米国)

何が起きたのか(攻撃手法:サプライチェーン攻撃、ランサムウェア)

2025年8月、米国の金融機関向けにソフトウェアを提供しているMarquis Software Solutions社が、ランサムウェア攻撃を受けました。ランサムウェアとは、感染したコンピュータのデータを暗号化し、元に戻すことと引き換えに身代金を要求する悪質なプログラムです。
ここまでなら、一つの企業の被害で済みます。しかし、この事件の恐ろしい点は、被害がMarquis社一社にとどまらなかったことです。同社のソフトウェアを利用していた数百もの米国のコミュニティバンクが、この攻撃の巻き添えになってしまいました。

なぜこんなことが起きたのか

攻撃者は、Marquis社が利用していた「SonicWall」というネットワーク機器の脆弱性(セキュリティ上の弱点)をついて同社のネットワークに侵入しました。そして、Marquis社が開発・提供していたソフトウェアシステムにランサムウェアを感染させ、データを暗号化したのです。

この影響で、同社のソフトウェアを日常業務に利用していた数百のコミュニティバンクが、自行のシステムやデータにアクセスできなくなるという深刻な業務停止に陥りました。つまり、ベンダー企業が攻撃されることで、そのサービスを利用している多数の金融機関が同時に被害を受けるという連鎖的な影響が発生したのです。一般的に、サプライチェーン攻撃では、セキュリティ対策が手厚い大手企業を直接狙うのではなく、比較的セキュリティ対策が弱い可能性のあるベンダー企業や取引先を侵入口として利用し、そこから本来のターゲットである企業へアクセスする手法が取られます。これが「サプライチェーン攻撃」と呼ばれる手口で、2025年の金融業界を襲った攻撃パターンの一つです。

※参照:SitusAMC(Marquis Software Solutions親会社)

学ぶべきポイント

取引先のセキュリティ状況を把握する

業務委託先やクラウドサービス提供企業がどのようなセキュリティ対策を実施しているかを確認する

契約書にセキュリティ条項を盛り込む

インシデント発生時の報告義務や対応方法を明確にしておく

サプライチェーン全体でリスク評価を行う

自社の直接の取引先だけでなく、その先の企業まで含めた全体像を把握する

事例3:見えない侵入口 - 700Credit APIデータ漏えい(米国)

何が起きたのか(攻撃手法:API悪用、サプライチェーン攻撃)

2025年、米国のフィンテック企業である700Credit社で、580万人分という大規模な個人情報漏えい事件が発生しました。米国の社会保障番号(SSN)という非常に機密性の高い情報まで含まれていました。
特に驚くべきは、この漏えいが5カ月間も気付かれずに続いていたという点です。攻撃者は、少しずつ、ゆっくりとデータを盗み出していたため、通常の監視では異常に気付きにくかったのです。

なぜこんなことが起きたのか

攻撃者は、700Credit社と提携する別のパートナー企業にまず侵入し、そこから700Credit社のAPI(ソフトウェア同士が連携するための「接続口」)にアクセスする権限を不正に取得しました。APIは、複数のシステムやサービスを連携させるために必要なしくみですが、その分、セキュリティの設定が複雑になりやすく、管理が甘くなりがちです。攻撃者は、その隙をついて、正規のアクセスに見せかけながら、データを盗み出し続けたのです。

このような攻撃は、正規の認証情報やトークンを使い正規のAPI経路からアクセスされると、異常を検知しにくいという特徴があります。このような段階的で目立たない侵害は、サプライチェーン攻撃と同様に、2025年の金融機関を狙った新たな脅威となっています。

※参照:
700Credit 「Nessel Urges Consumers to Protect Their Personal Information Following 700Credit Data Breach」 (ミシガン州司法長官室(Michigan Attorney General )2025年12月10日)

学ぶべきポイント

利用しているAPIを定期的に棚卸しする

不要なAPIは無効化し、攻撃の侵入口を減らす

APIへのアクセス権限を最小限に絞る

本当に必要な担当者やシステムだけがアクセスできるように設定する

API経由の通信を監視するしくみを整える

深夜の大量アクセスや不審なIPアドレスからのアクセスなど、異常な通信パターンを検知する

masuipeo

監修:増井さん

現在は便利なサービスが登場し、さまざまなサービスを契約している企業が増えています。これらのサービス間でデータを連携するにはAPIが不可欠です。さらにプログラマ以外が使える便利な自動化サービスも登場しているため、その管理は複雑になっています。組織として、どのようなサービスを利用し、どう連携しているのかを把握しておくことが求められています。

事例4:連鎖する悪夢 - ローレルバンクマシン社ランサムウェア攻撃(日本)

何が起きたのか(攻撃手法:ランサムウェア、複雑なサプライチェーン攻撃)

2025年10月、日本国内でAIを活用したデータ入力ツールを開発するローレルバンクマシン社がランサムウェア攻撃を受けました。この事件が大きな注目を集めたのは、その被害が次々と連鎖していった点です。
直接的な被害を受けたのはローレルバンクマシン社ですが、同社のツールを利用していた日本アスペクトコア社が二次被害を受けました。そして、日本アスペクトコア社に業務を委託していた野村證券、NRI(野村総合研究所)、広島銀行、第一フロンティア生命保険といった名だたる金融機関が、三次、四次被害者として次々と被害を公表するに至ったのです。

なぜこんなことが起きたのか

これは、「多段階のサプライチェーン」の脆弱性が引き起こした被害です。事例2のMarquis社のケースは、ベンダー企業が直接の顧客である銀行に被害を与えるものでしたが、今回のケースはさらに複雑で、複数の段階を経由した委託関係を通じて被害が連鎖しました。
このように、複数の段階を経由した委託関係の中で、最初の企業が攻撃の被害に遭うと、その先の企業すべてに影響が及んでしまうのです。自社が「攻撃される側」だと思っていても、実は「攻撃の踏み台にされる側」になる可能性もあります。

※参照:
「不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」(ローレルバンクマシン 2025年10月16日)
「委託先企業が利用するクラウドサービスへの不正アクセスによる情報の流出について」(野村證券 2025年10月17日)
「当行『お客さま満足度調査』の外部委託先における情報漏えいについて」(広島銀行 2025年10月29日)

学ぶべきポイント

自社のサプライチェーン全体を把握する

直接の取引先だけでなく、その先の再委託先がどのような企業かを理解する

インシデント発生時の連携体制を構築する

被害が発生した際に、関係企業に迅速に通知し、連携して対応できるしくみを平時から用意する

インシデント対応計画を定期的に見直す

自社が被害を受けた場合だけでなく、自社がサプライチェーンの一員として他社に影響を与える可能性も想定する

事例5:人の心の隙をつく - 地方銀行へのボイスフィッシング攻撃(日本)

何が起きたのか(攻撃手法:ボイスフィッシング、ソーシャルエンジニアリング)

2025年11月、日本の地方銀行を中心に、電話を使った新たな詐欺「ボイスフィッシング(ビッシング)」の被害が相次いで発生しました。攻撃者が銀行を装って電話をかけ、偽の情報で相手を騙して不正な操作をさせる手口です。
特に注目されたのは、攻撃に「自動音声」が使われたケースです。新潟県のある企業には、取引先の金融機関を名乗る自動音声で「お客様の会社情報が未更新のため、至急手続きが必要です」といった電話がかかってきました。信頼している銀行からの連絡だったこと、そして自動音声であったことから、担当者は疑うことなく指示に従ってしまい、結果として金銭的な被害に遭いました。

なぜこんなことが起きたのか

これは「ソーシャルエンジニアリング」と呼ばれる攻撃の一種です。高度な技術ではなく、人間の心理的な隙を巧みにつく手口で、フィッシング攻撃の進化形といえます。
攻撃者は、以下のような人間の心理を利用しています。

  • 「銀行からの連絡だから嘘はないだろう」という信頼感
  • 「自動音声だから機械が言っているのだから正確だろう」という無意識の思い込み
  • 「至急対応が必要」という緊迫感が判断力を奪う

つまり、セキュリティシステムを突破するのではなく、人間の判断を曇らせることで、自分から情報を与えさせてしまうという非常に厄介な攻撃なのです。DDoS攻撃のようにシステムを直接狙う手法とは異なり、人間を直接のターゲットにした攻撃として、今後ますます増加する可能性があります。

学ぶべきポイント

不審な電話やメールの具体例を従業員に周知する

「このような手口がある」という知識があるだけで、警戒心が高まる

気軽に相談できる窓口を設ける

不審な連絡を受けた際に、一人で判断せず、すぐにセキュリティ担当者にエスカレーションできる体制を整える

定期的なセキュリティ教育を実施する

「銀行が電話でパスワードを聞き出すことはない」「少しでも怪しいと感じたら、公式サイトで確認した正規の電話番号にかけ直す」といった基本ルールを繰り返し周知する

※参照:
「法人口座を狙うボイスフィッシングにご注意!」(全国銀行協会 2025年12月5日)
セキュリティに関するご注意とお知らせ(北洋銀行 2025年12月11日 )

masuipeo

監修:増井さん

メールや電話はいまだになくてはならない連絡手段ですが、代替手段を検討する方法も有効です。組織内での連絡にSNSやチャットツールなどを活用することは、なりすましのリスクを下げることにもつながります。

まとめ:2025年の脅威から学ぶ

ここまで、2025年に金融機関を襲った5つのサイバー攻撃事例を見てきました。これらの事例から浮かび上がるのは、攻撃の手口がますます多様化し、複雑化しているという現実です。
技術的な攻撃(パスワード攻撃、ランサムウェア、API悪用)から人的な攻撃(ボイスフィッシング)まで、さまざまな角度から狙われています。また、自社単独での対策では防ぎきれず、サプライチェーン全体でセキュリティレベルを向上させていく必要があることも明らかになりました。
セキュリティ担当者の皆さまには、これらの事例を他人事として捉えるのではなく、「自社でも起こり得る」という緊張感を持ちながら、日々の業務に取り組んでいただきたいと思います。最新の脅威動向を学び、自社のリスクを分析し、経営層や従業員を巻き込みながら、組織全体のセキュリティ体制を見直していく。その積み重ねが、未来の被害を防ぐ最大の防御となるはずです。

ユービーセキュアは、脆弱性診断ツール「Vex」の開発で培った知見と、経験豊富な専門家によるセキュリティ診断・コンサルティングで、お客様のシステムに潜むリスクを可視化し、対策の実行までを伴走支援します。

「何から手をつければいいかわからない」という段階からでも、お気軽にご相談ください。

詳細はこちら

【無料】資料ダウンロード

「何から始めればいい?」がゼロになる!セキュリティ対策スタートガイド

セキュリティ担当を任されたけど、何から手をつけていいかわからない。そんな悩みに応える、初心者向けスタートガイドです。 基本的な考え方から具体的な対策まで、順を追って分かりやすく整理しています。

セキュリティ対策スタートガイド
  • セキュリティの基本的な考え方と全体像
  • 最初に取り組むべき具体的な対策
  • 「まずこれだけは」の厳選対策を紹介