金融機関にサプライチェーン攻撃 地味なサービスが狙われる

サプライチェーン攻撃は自社の防御のみでは完結せず、外部委託先の管理が不可欠だ。日本と米国の事例から、高度な防御を誇る金融業界においても、監視の緩いサードパーティーが重大な脆弱性になることが分かった。

[Eric Geller，Cybersecurity Dive]

　サプライチェーン攻撃は自社の守りを固めるだけでは防ぐことが困難だ。外部のサービスがあって初めて自社のビジネスを実現できることから、どのような外部のサービスを利用していて、その外部サービスのセキュリティに問題がないかどうかをチェックしなければならない。

　この問題は金融業界であっても同じだ。日本では2025年9月に紙幣や硬貨を数え上げたり、選別したりする機器を提供していた企業のサーバが攻撃されたことで、証券会社や生命保険会社など多数の金融機関の顧客情報が漏えいした（関連記事）。

　このような事例を紹介しよう。

金融機関にサプライチェーン攻撃　地味なサービスが狙われる

　狙われたのは米国、欧州、アジアの金融機関にサービスを提供しているSitusAMC Holdings（以下、SitusAMC）だ。同社は不動産ファイナンスのライフサイクル全体をサポートするサービスの他、資産管理やコンサルティング、BPO（業務プロセスアウトソーシング）など幅広いサービスを提供している。

　同社によれば不動産ファイナンス分野ではトップクラスのシェアを持つという。

　SitusAMCは2025年11月22日（現地時間、以下同）に、同年11月12日に自社システムがサイバー攻撃に遭い、機密データが盗まれたと発表した（注1）。流出したデータには、銀行の会計記録や法的な契約書類の他、一部の銀行顧客に関する情報も含まれていたようだ。

　SitusAMCは「本件は現在（2025年11月末時点）収束しており、当社のサービスは完全に稼働している」と述べた。また、現在も調査が続いているものの、ランサムウェア攻撃ではないとした。

　SitusAMCの広報担当者はインシデントについて同社の1500社を超える顧客のうち何社が影響を受けたのか、また攻撃者を特定できているのかといった点を含め、質問への回答を控えた。

　FBI（連邦捜査局）はSitusAMCに対する攻撃被害の調査を支援していることを明らかにした。カシュ・パテル氏（FBI長官）は、「影響を受けた組織やパートナーと緊密に連携して、潜在的な影響の範囲を把握するために取り組んでいる。現時点で銀行サービスの運用に影響は確認されていない」と述べた。さらに「責任者の特定と（電力やガス、鉄道、空港などの）重要インフラの安全確保に引き続き全力で取り組んでいく」と強調した。

自社の守りが鉄壁だと過信しない

　SitusAMCに対する攻撃は防御体制が整っているとされる重要インフラ分野においても、深刻なサプライチェーンリスクに直面している事実を示した。豊富な資金力と厳格な規制を背景に、金融業界はあらゆる業界の中で最も高度なデジタル防御を構築していると、セキュリティ専門家はみている。

　しかし、他の多くの業界と同様に金融業界においても、サードパーティーのサプライヤーという弱点を狙った攻撃に対する脆弱（ぜいじゃく）性は依然として残っている。SitusAMCのように重要ではあるもののあまり知られていないベンダーは、サービスを提供する重要インフラ事業者ほど厳しい監視を受けないことが多い。その結果、セキュリティの隙が生まれ、ときに広範なデジタル侵害を引き起こす（注2、注3）。

出典：Hackers steal sensitive data from major banking industry vendor（Cybersecurity Dive）
注1：STATEMENT（SitusAMC Holdings）
注2：Change Healthcare data breach officially affects 100M people（Cybersecurity Dive）
注3：Progress Software’s MOVEit meltdown: uncovering the fallout（Cybersecurity Dive）

原文へのリンク