銀行130社ドメインアカウントの漏えい調査、2008から2020年で累計7,978件 | ScanNetSecurity
2024.03.29(金)

銀行130社ドメインアカウントの漏えい調査、2008から2020年で累計7,978件

株式会社ソースポッドは5月11日、OSINTによる国内銀行130社が所有するドメインアカウント情報の漏えい調査を行い「SP Intelligence Report」として公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
国内銀行のアカウント漏えい件数年次集計
国内銀行のアカウント漏えい件数年次集計 全 1 枚 拡大写真
株式会社ソースポッドは5月11日、OSINTによる国内銀行130社が所有するドメインアカウント情報の漏えい調査を行い「SP Intelligence Report」として公開した。同社では日本国内のサイバーセキュリティの現況把握のため、情報漏えいに関する調査レポート「SP Intelligence Report」を定期的に配信している。

同レポートでは2008年7月から2020年12月末までの期間、OSINT(Open Source INTelligence)データをもとに日本国内の大手銀行、地方銀行、信託銀行、信用組合、信用金庫、ネット銀行が保有するドメインアカウントを対象に、ダークウェブを含むインターネット上に公開され不特定多数が確認できるメールアドレスとパスワードが漏えいしている件数を年別に集計している。

同レポートの調査結果によると、2008年7月から2020年12月末までの累計漏えい件数は7,978件で、調査対象期間の中では2019年の5,795件が突出、次いで2020年の1,095件、2012年の399 件、2013年の313件が続いている。

最大の流出件数となった2019年について、2018年年末にダークウェブ上に流出し、2019年の年初にハッカーフォーラムでの情報発信により存在が知られたCollection#1 による影響が関係している。本件では、総容量87GB、12,000のファイルから成る7億7,300万件のメールアドレス、2,100万件のユニークなパスワード、27億件の有効なメールアドレスとパスワードの組み合わせという膨大な個人情報が流出した。

また同レポートでは、対象期間内で発生したインシデントとして「2012年3月:銀行職員のPCが標的型メールによりウイルス感染。メールの内容が流出した可能性」「2016年11月:投資や融資関連事業を行う銀行業者で不正アクセス。債務者の個人情報が流出した可能性」「2021年2月:銀行業者グループのECサイトに不正アクセス。商品購入情報を含む個人情報が流出した可能性」を挙げ、銀行業界は、ハッカーにとってどこよりも金銭的報酬が期待できるためサイバー攻撃の標的となりやすく、顧客のアカウント漏えいだけでなく従業員のアカウント漏えいにも細心の注意を払う必要があると指摘している。

同レポートでは最後に対策として、「漏えいアカウントの検知、把握、無価値化をワンストップで行う仕組みと体制の構築」「多要素認証の仕組みを導入する」「利用者のアカウント管理に関するリテラシー教育を行う」を挙げ、解説している。

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

  10. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

ランキングをもっと見る