金融業界は、国の経済を支える重要インフラとして、常に攻撃者の標的となっています。近年、その手口はますます巧妙化・悪質化しており、ひとたび攻撃を受ければ、金銭的な被害はもちろん、顧客からの信頼失墜やブランドイメージの低下など、計り知れないダメージにつながりかねません。
「うちは大丈夫」という油断は禁物です。本記事では、2025年に実際に発生した金融機関へのサイバー攻撃の中から、特に注目すべき5つの事例をピックアップし、その手口と対策を解説します。
2025年、日本の大手証券会社を舞台に、顧客の証券口座が第三者に乗っ取られる被害が相次いで発生しました。楽天証券や野村證券といった誰もが知る企業を含む少なくとも6社が被害を公表し、金融庁が調査に乗り出す事態にまで発展しました。
攻撃者は、どこからか入手したIDとパスワードを用いて不正にログインし、顧客の資産を狙ったのです。
この攻撃の背景には、複数の手口が組み合わされています。
一つ目は「フィッシング詐欺」です。攻撃者は偽の証券会社サイトに誘導し、ユーザーが入力したIDとパスワードを盗み取ります。
二つ目は「情報窃取型マルウェア」による攻撃です。業務連絡を装ったメールの添付ファイルや、正規のウェブサイトに見せかけた偽サイトからのダウンロードなどを通じて利用者のパソコンに侵入し、保存されている認証情報を盗み出します。
金融庁の報告によれば、2025年1月から5月末までに不正取引の件数は5,958件、売買額は5,240億円に達しており、被害が急速に拡大しています。これらはいずれもユーザーの判断の隙をついた非常に厄介な手口です。
さらに、情報窃取型ウイルスは、業務連絡を装ったメールの添付ファイルや、正規のウェブサイトに見せかけた偽サイトからのダウンロードなどを通じて、従業員のパソコンに侵入します。一度侵入されると、IDやパスワード、クレジットカード情報などを盗み出され、それが売買されるという悪循環が生まれるのです。これは、フィッシング攻撃の一種で、ユーザーの判断の隙をついた非常に厄介な手口です。
※参考:「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」(金融庁)
サービスごとに異なる複雑なパスワードを設定し、パスワード管理ツールを活用します。さらに、対応している証券会社では「パスキー」の利用を推奨します。パスキーは、生体認証(指紋や顔認証)などを使った新しい認証方式で、パスワードよりも安全性が高く、フィッシング詐欺にも強いしくみです。
IDとパスワードに加え、別の要素による認証を追加します。例えば、スマートフォンアプリやSMSでのワンタイムパスワード、生体認証(指紋や顔認証)、セキュリティキーなどがあります。認証の三要素(知識・所有・生体)のうち、二つ以上を組み合わせることで、セキュリティを大幅に強化できます。
不審なメールは開かない、安易にリンクをクリックしないといった基本的なリテラシーを全員で共有します。
監修:増井さん
この金融機関における被害について、利用者としてできる対策として、上記の他に「ログイン履歴の確認」があります。定期的にログインして、不審なログイン履歴がないか、前回のログイン日時などを確認するようにしましょう。
2025年8月、米国の金融機関向けにソフトウェアを提供しているMarquis Software Solutions社が、ランサムウェア攻撃を受けました。ランサムウェアとは、感染したコンピュータのデータを暗号化し、元に戻すことと引き換えに身代金を要求する悪質なプログラムです。
ここまでなら、一つの企業の被害で済みます。しかし、この事件の恐ろしい点は、被害がMarquis社一社にとどまらなかったことです。同社のソフトウェアを利用していた数百もの米国のコミュニティバンクが、この攻撃の巻き添えになってしまいました。
攻撃者は、Marquis社が利用していた「SonicWall」というネットワーク機器の脆弱性(セキュリティ上の弱点)をついて同社のネットワークに侵入しました。そして、Marquis社が開発・提供していたソフトウェアシステムにランサムウェアを感染させ、データを暗号化したのです。
この影響で、同社のソフトウェアを日常業務に利用していた数百のコミュニティバンクが、自行のシステムやデータにアクセスできなくなるという深刻な業務停止に陥りました。つまり、ベンダー企業が攻撃されることで、そのサービスを利用している多数の金融機関が同時に被害を受けるという連鎖的な影響が発生したのです。一般的に、サプライチェーン攻撃では、セキュリティ対策が手厚い大手企業を直接狙うのではなく、比較的セキュリティ対策が弱い可能性のあるベンダー企業や取引先を侵入口として利用し、そこから本来のターゲットである企業へアクセスする手法が取られます。これが「サプライチェーン攻撃」と呼ばれる手口で、2025年の金融業界を襲った攻撃パターンの一つです。
※参照:SitusAMC(Marquis Software Solutions親会社)
業務委託先やクラウドサービス提供企業がどのようなセキュリティ対策を実施しているかを確認する
インシデント発生時の報告義務や対応方法を明確にしておく
自社の直接の取引先だけでなく、その先の企業まで含めた全体像を把握する
2025年、米国のフィンテック企業である700Credit社で、580万人分という大規模な個人情報漏えい事件が発生しました。米国の社会保障番号(SSN)という非常に機密性の高い情報まで含まれていました。
特に驚くべきは、この漏えいが5カ月間も気付かれずに続いていたという点です。攻撃者は、少しずつ、ゆっくりとデータを盗み出していたため、通常の監視では異常に気付きにくかったのです。
攻撃者は、700Credit社と提携する別のパートナー企業にまず侵入し、そこから700Credit社のAPI(ソフトウェア同士が連携するための「接続口」)にアクセスする権限を不正に取得しました。APIは、複数のシステムやサービスを連携させるために必要なしくみですが、その分、セキュリティの設定が複雑になりやすく、管理が甘くなりがちです。攻撃者は、その隙をついて、正規のアクセスに見せかけながら、データを盗み出し続けたのです。
このような攻撃は、正規の認証情報やトークンを使い正規のAPI経路からアクセスされると、異常を検知しにくいという特徴があります。このような段階的で目立たない侵害は、サプライチェーン攻撃と同様に、2025年の金融機関を狙った新たな脅威となっています。
※参照:
700Credit 「Nessel Urges Consumers to Protect Their Personal Information Following 700Credit Data Breach」 (ミシガン州司法長官室(Michigan Attorney General )2025年12月10日)
不要なAPIは無効化し、攻撃の侵入口を減らす
本当に必要な担当者やシステムだけがアクセスできるように設定する
深夜の大量アクセスや不審なIPアドレスからのアクセスなど、異常な通信パターンを検知する
監修:増井さん
現在は便利なサービスが登場し、さまざまなサービスを契約している企業が増えています。これらのサービス間でデータを連携するにはAPIが不可欠です。さらにプログラマ以外が使える便利な自動化サービスも登場しているため、その管理は複雑になっています。組織として、どのようなサービスを利用し、どう連携しているのかを把握しておくことが求められています。
2025年10月、日本国内でAIを活用したデータ入力ツールを開発するローレルバンクマシン社がランサムウェア攻撃を受けました。この事件が大きな注目を集めたのは、その被害が次々と連鎖していった点です。
直接的な被害を受けたのはローレルバンクマシン社ですが、同社のツールを利用していた日本アスペクトコア社が二次被害を受けました。そして、日本アスペクトコア社に業務を委託していた野村證券、NRI(野村総合研究所)、広島銀行、第一フロンティア生命保険といった名だたる金融機関が、三次、四次被害者として次々と被害を公表するに至ったのです。
これは、「多段階のサプライチェーン」の脆弱性が引き起こした被害です。事例2のMarquis社のケースは、ベンダー企業が直接の顧客である銀行に被害を与えるものでしたが、今回のケースはさらに複雑で、複数の段階を経由した委託関係を通じて被害が連鎖しました。
このように、複数の段階を経由した委託関係の中で、最初の企業が攻撃の被害に遭うと、その先の企業すべてに影響が及んでしまうのです。自社が「攻撃される側」だと思っていても、実は「攻撃の踏み台にされる側」になる可能性もあります。
※参照:
「不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」(ローレルバンクマシン 2025年10月16日)
「委託先企業が利用するクラウドサービスへの不正アクセスによる情報の流出について」(野村證券 2025年10月17日)
「当行『お客さま満足度調査』の外部委託先における情報漏えいについて」(広島銀行 2025年10月29日)
直接の取引先だけでなく、その先の再委託先がどのような企業かを理解する
被害が発生した際に、関係企業に迅速に通知し、連携して対応できるしくみを平時から用意する
自社が被害を受けた場合だけでなく、自社がサプライチェーンの一員として他社に影響を与える可能性も想定する
2025年11月、日本の地方銀行を中心に、電話を使った新たな詐欺「ボイスフィッシング(ビッシング)」の被害が相次いで発生しました。攻撃者が銀行を装って電話をかけ、偽の情報で相手を騙して不正な操作をさせる手口です。
特に注目されたのは、攻撃に「自動音声」が使われたケースです。新潟県のある企業には、取引先の金融機関を名乗る自動音声で「お客様の会社情報が未更新のため、至急手続きが必要です」といった電話がかかってきました。信頼している銀行からの連絡だったこと、そして自動音声であったことから、担当者は疑うことなく指示に従ってしまい、結果として金銭的な被害に遭いました。
これは「ソーシャルエンジニアリング」と呼ばれる攻撃の一種です。高度な技術ではなく、人間の心理的な隙を巧みにつく手口で、フィッシング攻撃の進化形といえます。
攻撃者は、以下のような人間の心理を利用しています。
つまり、セキュリティシステムを突破するのではなく、人間の判断を曇らせることで、自分から情報を与えさせてしまうという非常に厄介な攻撃なのです。DDoS攻撃のようにシステムを直接狙う手法とは異なり、人間を直接のターゲットにした攻撃として、今後ますます増加する可能性があります。
「このような手口がある」という知識があるだけで、警戒心が高まる
不審な連絡を受けた際に、一人で判断せず、すぐにセキュリティ担当者にエスカレーションできる体制を整える
「銀行が電話でパスワードを聞き出すことはない」「少しでも怪しいと感じたら、公式サイトで確認した正規の電話番号にかけ直す」といった基本ルールを繰り返し周知する
※参照:
「法人口座を狙うボイスフィッシングにご注意!」(全国銀行協会 2025年12月5日)
セキュリティに関するご注意とお知らせ(北洋銀行 2025年12月11日 )
監修:増井さん
メールや電話はいまだになくてはならない連絡手段ですが、代替手段を検討する方法も有効です。組織内での連絡にSNSやチャットツールなどを活用することは、なりすましのリスクを下げることにもつながります。
ここまで、2025年に金融機関を襲った5つのサイバー攻撃事例を見てきました。これらの事例から浮かび上がるのは、攻撃の手口がますます多様化し、複雑化しているという現実です。
技術的な攻撃(パスワード攻撃、ランサムウェア、API悪用)から人的な攻撃(ボイスフィッシング)まで、さまざまな角度から狙われています。また、自社単独での対策では防ぎきれず、サプライチェーン全体でセキュリティレベルを向上させていく必要があることも明らかになりました。
セキュリティ担当者の皆さまには、これらの事例を他人事として捉えるのではなく、「自社でも起こり得る」という緊張感を持ちながら、日々の業務に取り組んでいただきたいと思います。最新の脅威動向を学び、自社のリスクを分析し、経営層や従業員を巻き込みながら、組織全体のセキュリティ体制を見直していく。その積み重ねが、未来の被害を防ぐ最大の防御となるはずです。
ユービーセキュアは、脆弱性診断ツール「Vex」の開発で培った知見と、経験豊富な専門家によるセキュリティ診断・コンサルティングで、お客様のシステムに潜むリスクを可視化し、対策の実行までを伴走支援します。
「何から手をつければいいかわからない」という段階からでも、お気軽にご相談ください。