株式会社ジンテック

Jライブラリー

信用を秒で奪うサイバー脅威と金融機関の備え(第16回)

名和利男 コラム

2025年6月に発生した「#OpJapan」攻撃で何が起きたか

2025年6月16〜21日、親ロシア派ハクティビストが「#OpJapan」を掲げ、日本の金融、行政、エネルギー、交通など計15組織のウェブサイトを狙いました。各サイトでは30〜60秒ほどの断続的なアクセス遅延が繰り返され、長時間の停止は確認されていません。

それでもSNSには「完全ダウン」「ログイン不能」といった誤情報が急速に拡散し、利用者の不安が高まりました。暗号化通信アプリでの挑発的な投稿を起点に報道も連鎖し、「日本全体が止まった」という印象が国内外に広がったのです。

攻撃の費用と信用への影響

今回の攻撃に使用されたとみられるツールは短期レンタル型の汎用ソフトです。専門知識がなくても24時間あたり約8,000円で利用でき、追加料金で通信量を増やすオプションもあると報じられています。攻撃者はコンビニの買い物程度の費用で世間の注目を集めたことになります。

一般に、被害を受けた組織は、サーバー増強やコールセンター対応、広報活動などの事故対応費として 100万〜数千万円 の負担と報告されています。海外調査(Splunk×Oxford Economics, 2023)では、金融機関を含むグローバル企業で ダウンタイム1分当たり約9,000ドル、円換算で 約140万円(1ドル=155円換算) の逸失利益が発生すると試算されています。単純計算でも 3分の停止で約420万円 に達する計算になり、短時間でも経営に無視できない影響を与えることがわかります。

短時間の影響でも顧客は不安を覚え、アプリの削除や競合サービスへの乗り換えを検討します。数字に表れにくい信用コストが重くのしかかり、電子掲示板では「金融システムは脆弱だ」という書き込みが相次ぎました。一部株式掲示板では関連銘柄の取引量も急増しています。

6月17日の具体的な影響

この日、親ロシア派ハクティビストは産業インフラ系のウェブページを標的に DDoS 攻撃を仕掛け、いずれも数分間の応答停止や高いパケットロスが観測されました。金融機関そのものは直接の標的にはなりませんでしたが、産業・交通インフラが狙われたことで、サプライチェーン全体に波及リスクがあることが示唆されました。

SNS では「空港サイトが落ちた」「国内造船業に攻撃か」といった投稿が瞬く間に拡散し、実害よりも早く不安が広がる構図が浮き彫りになりました。金融セクターとしても、自社だけでなく取引先・関連インフラの稼働状況を迅速に把握し、必要なら30分以内に公式見解を発信できる体制を整えることが、レピュテーションリスク低減のカギとなります。

中堅金融機関が狙われやすい背景

中堅や地域の金融機関が狙われやすい理由は三つあります。第一に、防衛投資が大手より薄いと見込まれやすいこと。第二に、地域決済網や自治体サービスと結び付きが強く、ひとたび停止すれば生活に直結すると報じられやすいこと。第三に、対ロシア制裁や国際支援への示威行為として世論の注目を集めやすいことです。

これらの要素が重なり、攻撃者にとって少ない費用で大きな反響を得られる標的になりやすいと分析されています。

経営に直結するリスク

システム停止が長引けば売上や市場取引に即日影響し、行政報告の遅延は処分リスクを伴います。レピュテーション低下と法令違反による罰則が経営に直接響く点を見過ごせません。

取るべき5つの対策(例)

(1) 通信の急増を自動検知し、1分以内に総務とシステム部門へ通知が届く監視体制を整備します。
(2) 通信が混雑した際に自動で別回線へ切り替える冗長ネットワークを構築します。
(3) 被害判明から15分以内に事実、影響、復旧見込みをウェブとSNSで同時に発信する業務フローを確立します。
(4) 半年ごとに取締役を含む机上演習を行い、技術部門と広報部門が同じ情報基盤で意思決定できるかを検証します。
(5) 3段階の資金計画を策定し、第1段階で監視体制に約800万円、第2段階で自動切替に約1,500万円、第3段階でクラウド冗長化に約3,000万円を投資します。監視画面を経営層と共有し、異常時に数値が色で強調されるよう工夫すると意思決定が加速します。広報テンプレートには「技術的原因は調査中」「顧客資産に影響は確認されていない」など、初動で必ず伝える定型文を盛り込み、複数部門が同時編集できる共同編集システムを採用してください。

取締役会への提言

IT関連費用の10%をセキュリティに充てることが国際的な中央値とされています。まずは現行比率を算出し、来期予算で不足分を補う工程表を示す必要があります。危機管理の指標として目標復旧時間3分、第一報15分を設定し、金融ISACなどの情報共有網を活用して脅威情報を日次で受け取る体制を整えることが急務です。災害対策基本法や改正個人情報保護法の報告要件を整理し、インシデント初動で法令対応が抜け落ちない仕組みを構築してください。

まとめ

攻撃は避けられないという前提で備える文化が金融機関の新常識になりつつあります。秒単位で信用を守る意思決定を現場任せにせず、取締役会が率先して今期中に具体化することで、地域経済と顧客資産を守る力を高められます。経営層と現場の距離を縮め、訓練と投資の両輪で組織全体の粘り強さを高めることが不可欠です。

※本内容の引用・転載を禁止します。

Cookie の使用について
当ウェブサイトでは、お客様の利便性向上や、サイト改善のためにCookieを使用しています。
詳細についてはCookieポリシーをご覧ください。

pagetop