銀行130社ドメインアカウントの漏えい調査、2008から2020年で累計7,978件
株式会社ソースポッドは5月11日、OSINTによる国内銀行130社が所有するドメインアカウント情報の漏えい調査を行い「SP Intelligence Report」として公開した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
同レポートでは2008年7月から2020年12月末までの期間、OSINT(Open Source INTelligence)データをもとに日本国内の大手銀行、地方銀行、信託銀行、信用組合、信用金庫、ネット銀行が保有するドメインアカウントを対象に、ダークウェブを含むインターネット上に公開され不特定多数が確認できるメールアドレスとパスワードが漏えいしている件数を年別に集計している。
同レポートの調査結果によると、2008年7月から2020年12月末までの累計漏えい件数は7,978件で、調査対象期間の中では2019年の5,795件が突出、次いで2020年の1,095件、2012年の399 件、2013年の313件が続いている。
最大の流出件数となった2019年について、2018年年末にダークウェブ上に流出し、2019年の年初にハッカーフォーラムでの情報発信により存在が知られたCollection#1 による影響が関係している。本件では、総容量87GB、12,000のファイルから成る7億7,300万件のメールアドレス、2,100万件のユニークなパスワード、27億件の有効なメールアドレスとパスワードの組み合わせという膨大な個人情報が流出した。
また同レポートでは、対象期間内で発生したインシデントとして「2012年3月:銀行職員のPCが標的型メールによりウイルス感染。メールの内容が流出した可能性」「2016年11月:投資や融資関連事業を行う銀行業者で不正アクセス。債務者の個人情報が流出した可能性」「2021年2月:銀行業者グループのECサイトに不正アクセス。商品購入情報を含む個人情報が流出した可能性」を挙げ、銀行業界は、ハッカーにとってどこよりも金銭的報酬が期待できるためサイバー攻撃の標的となりやすく、顧客のアカウント漏えいだけでなく従業員のアカウント漏えいにも細心の注意を払う必要があると指摘している。
同レポートでは最後に対策として、「漏えいアカウントの検知、把握、無価値化をワンストップで行う仕組みと体制の構築」「多要素認証の仕組みを導入する」「利用者のアカウント管理に関するリテラシー教育を行う」を挙げ、解説している。
関連記事
![彷彿 Stuxnet/セキュリティ業界資金調達史上最高/サプライチェーン対処ベストプラクティス ほか [Scan PREMIUM Monthly Executive Summary] 画像](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/34318.jpg)
この記事の写真
/
