2019年、世界の株式市場は17兆ドルの増加でした。新型コロナウイルスの流行で、世界市場は(控え目に言っても)打ちのめされた状態ですが、投資への関心は消えていません。2020年が始まって以降、株取引アプリの利用者数は増加の一途です。
その一方で、トレーダーの資産や個人情報は、サイバー犯罪者にとって魅力的な獲物です。そして、インシデントが発生した場合、事態に対応しなければならないのは、取引プラットフォームの運営企業です。今回の記事では、企業が直面する主な脅威と、対抗するための方法についてお話しします。
アプリの脆弱性
どんなソフトウェアにも脆弱性は付きものですが、取引プラットフォームも例外ではありません。2018年、サイバーセキュリティのエキスパートであるアレハンドロ・エルナンデス(Alejandro Hernandez)氏は、79個の株取引アプリに脆弱性を発見しました(英語記事)。その内容は、データの保管や送信の際に暗号化を使用しない(誰でもデータの閲覧や変更が可能)、一定期間操作がなくてもユーザーをログアウトしない、などです。設計レベルの不備としては、安全性の低いパスワードでも許可される、といったものがありました。
1年後、ImmuniWebのアナリストが似たような調査を実施したところ、同様の好ましからぬ結果となりました(英語記事)。調査の対象となった100のフィンテックサービスのすべてで、何らかの脆弱性が見つかったのです。問題はWebアプリとモバイルアプリの両方で見つかり、プログラマーが使用していたサードパーティのサービスやツールから多くのバグが受け継がれていました。一部の脆弱性については、かなり前からパッチが存在していたにもかかわらず、適用されていませんでした。そのうち一番古いものは、2012年にリリースされたものです。
昼の後には必ず夜が訪れるように、製品にセキュリティ上の問題があれば人の知るところとなり、企業の評判を傷つけ、顧客の離反を呼ぶことになりかねません。また、アプリに存在するバグが原因で利用者がデータ漏洩や金銭的な損失を被るようなことがあれば、開発元は多額の罰金を請求されたり、損害の補填をせざるを得なかったりする可能性があります。
ときにはプラットフォームの作成者だけが被害者となることもあります。例えば、Robinhoodという株取引アプリの開発元は、プレミアムユーザーが証券売買の資金を無制限に借りられるというバグに気付かず、わずか4,000ドルの保証金で100万ドルを借り入れたユーザーもいました(英語記事)。
バグや脆弱性に関連する損失を防ぐために、取引プラットフォームの開発に当たっては、開発段階でセキュリティを考慮に入れ、ユーザーの自動ログアウト、暗号化、安全性の低いパスワードの禁止といったことをあらかじめ考えておく必要があります。また、定期的にコードをレビューしてエラーの有無を確認し、迅速に修正しなければなりません。
サプライチェーン攻撃
ほとんどの企業では、時間とコストを節約するため、自社でコードを書く以外にサードパーティのツール、フレームワーク、サービスも利用します。こうしたサードパーティのインフラがセキュリティ侵害を受けた場合、それを利用する企業も被害を受けることがあります。
実際にこの被害に遭ったのが、通貨ブローカーのPepperstoneです(英語記事)。2020年8月、サイバー犯罪者が契約企業のコンピューターを感染させ、PepperstoneのCRMシステム内の同社アカウントに不正アクセスしました。この不正侵入はすぐに無効化されましたが、攻撃者は一部の顧客データを盗み出していました。同社によると、金融システムや取引システムは影響を受けていないとのことです。たとえ原因がサードパーティのコードであったとしても、データ漏洩は企業に多額の金銭的負担を負わせる場合があることは念頭に置いておきたいものです。
起こり得る被害を避けるために、パートナー企業としては、セキュリティ意識の高い信頼できる企業を選ぶことが重要です。また、パートナー側のセキュリティメカニズムだけに頼らないようにしましょう。金融業界においては、どの企業も厳しいセキュリティポリシーの導入が必須です。
スピアフィッシング
サイバーインシデントは、しばしば人的要因から発生します。攻撃者が社員を利用して企業のインフラへ侵入するのはそのためです。
今年7月、サイバーセキュリティの調査チームは、EU、英国、カナダ、オーストラリアのフィンテック機関を狙った一連の攻撃に、EvilnumというAPTグループとの関連を見出しました(英語記事)。この攻撃では、正規のクラウドサービスに置かれているZIPアーカイブへのリンクが記載されたメールが、企業の社員に送りつけられました。メールは業務上のやりとりのように見せかけてあり、アーカイブ内のファイルは関連のドキュメントや画像であるとされていました。このアーカイブを解凍すると、メールに記載されているとおりのドキュメントや画像が表示されますが、同時に感染の連鎖が作動する仕組みです。
攻撃者は企業のメールアカウントに侵入することもあり、そうなるとフィッシングを見抜くのがいっそう難しくなります。今年8月、Virtu Financialという企業がこのような攻撃を受けました。同社の担当者によると、経営幹部の1人のメールボックスにサイバー犯罪者が侵入し、多額のお金を中国へ送金するように指示したメールを2週間にわたって経理部へ送っていたということでした(英語記事)。このメールを無条件に信用してしまったことで、同社は1100万ドル近くを失うこととなりました。
このような攻撃を撃退するには、サイバーセキュリティ担当者は適切なトレーニングを積む必要があります。メール内に見られるフィッシングの危険信号をリストにまとめ、このリストを元に、よく知らない相手に対する多額の送金を同僚やパートナーや顧客から頼まれた場合にどう対応すればよいか、一連の流れを策定しましょう。
顧客側の問題
企業やアプリに落ち度がないのに、利用者がお金を失うこともあります。原因となるのは、マルウェアをダウンロードする、フィッシングサイトでパスワードを入力するなど、何かしら無責任な行動です。しかし残念ながら、ここでも取引プラットフォームが責任を問われることがあります。国によっては、少なくとも事態究明の法的義務が企業に課せられます。そのため、起こり得る危険についてトレーダーに随時警告を出し、自分の身(ひいては、サービスを提供している企業)を守るように呼びかけを行う価値はあります。
また、サードパーティ製ソフトウェアというものは脅威をもたらす可能性がある(海賊版や取得元が疑わしいものは特に)ということを、顧客に対して折りに触れ注意喚起するのも良いでしょう。そうしたソフトウェアが、例えばパスワードを盗むかもしれず、取引用アカウントのパスワードが盗まれてしまうかもしれません。
このほか、サイバー犯罪者が株取引サービスになりすまして顧客の認証情報を盗もうとする場合があることについても、顧客に注意を促しましょう。利用中のサービスに問題が生じたという内容のメールには特に細心の注意を払うこと、送信者のアドレスや本文に誤字や文法の乱れがないかチェックを促してください。同時に、Webサイトへアクセスする場合はメールに記載のURLは決してクリックせず自分の手でURLをブラウザーに入力するかアプリ経由でアクセすることを推奨し、怪しいと感じたときは顧客サポート窓口へ問い合わせるように伝えましょう。
お金と評判を守るには
金銭の取り扱いには、非常に大きな責任が伴います。セキュリティを疎かにすることで、フィンテック企業に大きな損害が生じかねません。したがって、次のような取り組みが推奨されます。
- 自社のアプリやプログラムのセキュリティ状況をモニタリングする。脆弱性がないかどうか調査し、バグやエラーは徹底的に潰しましょう。
- 業務用デバイスには信頼性の高いセキュリティソリューションをインストールする。1つのコントロールパネルで管理できるものが理想です。
- サイバーセキュリティの基本について社員向けのトレーニングを行い、自社と顧客に金銭的被害やストレスをもたらすミスを防ぎましょう。
- 社員やサードパーティサプライヤー向けに、実行可能でできる限り厳格なセキュリティポリシーを導入する。
- 自分の金銭の安全の大部分は自分自身にかかっているということを、顧客に再認識してもらう。取引に使用するデバイスにセキュリティソリューションをインストールすること、不要なプログラムは一切入れないことをお勧めしてください。
- 開発の初期段階からセキュリティのメカニズムを実装する。最低限として、安全性の低いパスワードの禁止、暗号化、操作がないユーザーの自動ログアウトを導入してください。