FinCENランサムウェアに関する新報告書：銀行は重大なリスクを抑制しなければならない

ランサムウェアに関して良いニュースはありますか?いただきます！

米財務省の金融犯罪取締ネットワーク（FinCEN）の新しい報告書によると、銀行は2024年に身代金として3億7000万ドルを支払った。これは前年の11億ドルから大幅に減少したことになる。  

この減少は、ランサムウェア集団に対する法執行措置の強化と金融セクター全体の回復力の高まりを反映しています。

あまり良くないニュースとしては、銀行におけるランサムウェア事件のほとんどが報告されていないことが報告書で認められていることだ。なぜでしょうか? 銀行業界のインシデント開示法は、重要性に左右されるからです。

この業界では、侵害を開示する必要があるか、規制当局に報告する必要があるか、取締役会に説明する必要があるかは、重要性（攻撃の発生頻度ではなく、財務的影響）によって決まります。  

それはリスクの指標であり、動く目標です。報告内容が制限される一方で、たった 1 件の違反で世間の非難が巻き起こることも意味します。

そのため、金融セクターでは侵害の封じ込めが不可欠です。これは、サイバー インシデントがビジネス危機に発展する前に、その影響を小さく、重大なものでないようにするための最も信頼できる方法です。

この投稿では、金融サービスにおける最新のランサムウェアの傾向、重要性が報告義務にどのように影響するか、そして規制リスクと評判の失墜に対する最善の防御策が封じ込めである理由について説明します。

金融サービスにおけるランサムウェアの動向：最新レポートの主な調査結果

米国財務省の金融犯罪取締ネットワーク（FinCEN）の最新レポート「 2022年から2024年までの銀行秘密法データにおけるランサムウェアの傾向」によると、金融サービス部門は製造業やヘルスケアと並んで、 ランサムウェアによる被害を最も受けています。

2022年1月から2024年12月の間に、 金融機関は4,194件のランサムウェアインシデントに関連して7,395件の銀行秘密法（BSA）報告書を提出しました。彼らは身代金の支払いが21億ドル以上であると報告した。  

このデータは金融部門がいかに大きなリスクを抱えているかを強調している。機密データ、重要なシステム、貴重な資産が集中しているため、ランサムウェア攻撃者にとって明らかに頻繁な標的となります。

明るいニュースもあります。身代金の支払いは減少傾向にあります。支払額の中央値は2023年の175,000ドルから2024年には155,257ドルに減少した。

それでも、FinCENは、これらの数字は全体像を捉えていない可能性が高いと警告している。多くの事件は公式報告書には記載されないため、ランサムウェア活動の実際の規模はおそらくこれよりはるかに大きいと考えられます。

すべての組織がランサムウェアの汚い秘密を公開しているわけではない

現実には、特に金融サービスでは、多くのセキュリティ インシデントが報告されません。多くの場合、報告する必要はありません。

FBI は、ランサムウェア攻撃を含むすべてのサイバー犯罪のうち、報告されるのは約 15% に過ぎないと推定しています。  

多くの法律は機密データが公開された場合にのみ適用されるため、報告ルールは制限されています。それに加えて、重要性の基準は曖昧な場合が多く、解釈の余地が残され、多くのインシデントが見落とされてしまうことになります。

SECの重要性の定義が報告内容に及ぼす影響

米証券取引委員会（SEC）の規則では、上場金融機関は「重大な」サイバーインシデントを4営業日以内に開示しなければならない。重大とは、事件が投資家や会社の財務状況に影響を及ぼす可能性があることを意味します。

問題は、重要性が主観的であるということです。コアシステムがすぐに回復するか、機密の財務データが漏洩していない場合、多くの企業はインシデントが重大ではなく開示の必要はないと判断します。

金融における違反通知法のほとんどは、個人情報または顧客の財務データが関係する場合にのみ適用されます。  

ランサムウェアがシステムを暗号化しても機密記録には触れない場合は、報告ルールは適用されない可能性があります。こうしたケースの多くでは、事件は報告されません。

銀行の違反報告に関するその他の考慮事項

一方、民間銀行や非公開金融機関では、サイバー攻撃を報告する義務がない場合が多い。  

特別な規則が適用されない限り、インシデントを公開するかどうかを選択できます。法的圧力がなければ、多くの攻撃は隠されたままになります。

決定はルールだけに関するものではありません。銀行は、公的な情報漏洩が引き起こす損害についても懸念している。罰金、訴訟、顧客の信頼の喪失のリスクがあります。

これを避けるために、一部の企業はひそかに身代金を支払います。システムを素早く復元するためにバックアップに頼る人もいます。  

業務がすぐに正常に戻れば、特にサービスの継続が重要な銀行業務においては、インシデントが非公開のままになることが多いです。

銀行業務において重要性が真のリスクである理由

金融機関にとって、プレッシャーがかかっているときに重要になる指標は、重要性だけです。  

手順はすでにご存知でしょう。何かが壊れるたびに、銀行のセキュリティチームは次のように質問します。

• これは流動性に打撃を与えるでしょうか?  
• 規制当局は呼びかけるだろうか？  
• 取締役会は回答を求めるでしょうか?

ランサムウェアの場合、1 回の侵害で、影響度がすぐに切り替わる可能性があります。静かな回復から、違反報告の義務化を必要とする全面的な PR 災害に陥る可能性があります。  

封じ込めは金融セクターにとって最善の防御策

銀行におけるランサムウェア問題の規模を理解することは有益ですが、それはあなたの取締役会が関心を持っていることではありません。彼らは世界的な攻撃量や身代金支払額の中央値を追跡していません。

彼らが気にしているのはただ一つ、この攻撃が現実のものとなるかどうかだ。

重要性とはビジネスへの影響を意味します。攻撃が重大なものになった場合、コアシステムが混乱し、機密データが漏洩し、信頼が損なわれ、EU のデジタル運用およびレジリエンス法(DORA) や連邦金融機関検査協議会 (FFIEC) などの規則に基づく規制上の罰則が適用される場合があります。

だからこそ、 侵害の封じ込めが重要なのです。これにより、インシデントが小規模に抑えられ、 横方向の移動がブロックされ、爆発半径が縮小され、重要性のしきい値を下回った状態を維持できます。

封じ込めは、公開を避ける方法です。それが、ニュースの見出しに載らず、SEC の 4 日間の報告期間も回避する方法です。

Illumioでランサムウェア攻撃に備える

セキュリティ チームは、ラインバッカーがエンド ゾーンを守るようにネットワークを保護します。封じ込めは、サイバーインシデントが重大な事態に発展するのを防ぐ最善の策です。

Illumio の侵入阻止機能により、たとえ攻撃者が侵入したとしても、被害は小さく抑えられます。ネットワーク内を移動したり、重要なシステムを攻撃したり、機密データを盗んだりすることはできません。

Illumio がサポートできることは次のとおりです。

• 爆発範囲を縮小します。銀行システム全体で、リモート デスクトップ プロトコル (RDP)、サーバー メッセージ ブロック (SMB)、PsExec などの一般的な攻撃パスをブロックします。‍
• 二重の恐喝はやめてください。財務データと顧客記録へのアクセスを制限します。‍
• コンプライアンスを維持します。違反を重大なしきい値以下に抑えることで、FFIEC、DORA、SEC の規則を満たします。

法律がいつ変更されるか、攻撃者が何を試みるかを制御することはできませんが、Illumio を使用すると、攻撃がどこまで及ぶかを制御することができます。

重大な利害がある場合、封じ込めは選択肢ではない

FinCEN の最新のランサムウェア報告書から得られる教訓は、これらの数字が何を捉えていないかということです。

ランサムウェアはなくなることはありません。金融サービスでは、たった 1 回の侵害で重大なしきい値を超え、規制当局による調査、情報公開、評判の失墜、経済的損失など、それに伴うすべての事態を引き起こします。

実のところ、銀行や保険業界のセキュリティ リーダーは、どれだけの攻撃を防いだかではなく、インシデントがビジネス イベントになったかどうかで評価されます。  

だからこそ、侵害の封じ込めが戦略となる必要があるのです。それは、封じ込められた脅威と、大見出しになるような危機との違いです。

試す Illumio Insights 無料 今すぐ AI を活用した可観測性とワンクリックの封じ込めをハイブリッド マルチクラウド バンキング環境に導入しましょう。