信頼され、資格を持ち、そして危険：銀行が直面する新たな内部脅威

何かが新たな常識になると、それはもはや認識されなくなる。サイバー攻撃は銀行を標的にしている。地政学的な主体は、敵対勢力を攻撃する。日常的に発生するセキュリティ侵害は、ほとんどニュースの見出しにならない。

あくび。今日は火曜日です。  

何が普通ではないかというと、攻撃者はすでにあなたのネットワークに侵入しており、彼らの動機は私たちが信じ込まされているような金銭ではないということです。

米国財務省は2026年3月、北朝鮮のIT技術者が正規の給与を受け取りながら米国企業のネットワーク内に潜入することで、約8億ドルもの利益を生み出していたことを確認した。その資金は個人的な利益のためではなく、軍事活動や政治活動に投入された。

同時に、イランは米国の銀行を軍事標的として公に指定し、盗んだ管理者認証情報を使ってワイパーマルウェアを展開した。これは金銭を盗むためではなく、サーバーを削除し、事業運営を完全に停止させるためだった。

これらは内部犯行であり、盗まれたものではなく、許可されたアクセス権に基づいて実行されたものです。

認証情報を用いたアクセスが攻撃経路となり、従来のセキュリティ対策では対処できなかった脆弱性が露呈した。

これに対処するためには、銀行は最初のアクセスを防ぐだけでなく、横方向の移動を制限し、すでに銀行の環境内に侵入している脅威を封じ込めることに注力する必要がある。  

正当なアクセスは主要な攻撃経路である

現在銀行を標的としているこれらの国家支援の脅威には、共通点が一つある。攻撃はあなたの防御を突破できない。それは彼らにふさわしい。  

先日サンフランシスコで開催されたRSAカンファレンスで、キャピタル・ワンの最高技術リスク責任者であるアンディ・オズメット氏は、北朝鮮の工作員が盗んだアメリカ人の身分証明書を使って、 米国の金融機関でリモートワークの職を得ていると警告した。

彼らは身元調査を通過し、会社のノートパソコンを受け取り、金融機関自身が発行した有効な認証情報を使って銀行のネットワークに接続している。FBIは2025年1月以来、これらの従業員が企業秘密を盗み、長期的な破壊工作を行うための態勢を整えていると警告している。

さらに、2026年2月下旬の米国とイスラエルによる軍事攻撃の後、イラン軍司令部は、米国と関係のある銀行を軍事標的として明確に名指しする声明を発表した。数日後、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は金融機関に対し、この脅威の手法が既に利用されていることを確認する緊急警告を発した。

イランと関係のあるグループ、 ハンダラ・ハックがこの手法を実証していた。彼らはフィッシングによって管理者の認証情報を盗み出し、正規のアクセス権でMicrosoft Intuneにログインし、数十か国にわたる数万台のシステムを消去する。

どちらの場合も、攻撃者は認証情報を持っており、信頼されており、ネットワーク内を自由に移動できます。  

死角は修正されていません

ポネモン研究所の2026年版「インサイダーリスクのコストに関するグローバルレポート」は、銀行員が正当なアクセス権限を利用して犯罪組織を支援した複数の事例を記録している。これには、詐欺検出の専門家が顧客の金融データを犯罪組織と共有した事例や、犯罪者のために資金洗浄を行ったとして投獄された銀行員の事例などが含まれる。

これらは盗まれた認証情報ではありませんでした。彼らは身元調査済みで、有効なアクセス権限を持つ、本人確認済みの従業員でした。身元が判明しているからといって、信頼できる行動をとるとは限らないという前提は誤りであり、長年にわたって誤りであり続けている。

現在の状況を構造的に異なるものにしているのは、その悪用がどこで発生するかという点である。RSAC 2026において、オズメット氏は、採用担当者は企業のリスク管理者というよりも、むしろ組織の親しみやすい顔として自分自身を捉えがちだと説明した。  

その結果、採用プロセス、つまり外国の工作員が自社のITチームから有効な認証情報を受け取った瞬間から、組織上の誰の責任でもない、いわば「無人地帯」に陥ってしまう。  

銀行はネットワークの周囲に多層的な防御策を構築している。彼らは、そもそも誰がそれらのネットワークにアクセスできるのかを決定するプロセスに関して、同等の防御策を構築していない。  

それが死角だ。そしてそれは技術的な格差ではない。これはガバナンス上の欠陥だ。  

不正監視システムは、異常な取引、不審な送金、支出パターンからの逸脱といった、金融上の異常を検出するために構築されました。それは、時間通りに現れ、仕事をこなし、完璧な信憑性をもってシステム内を横断的に移動する、政治的な動機を持つ工作員を検出するように設計されたものではありません。

取引監視では、金銭を盗んでいない北朝鮮工作員を特定することはできない。既に管理者パスワードを入手しているイランの攻撃者を、境界防御で阻止することはできない。

多くの銀行が最も多額の投資を行ってきた統制策は、まさに彼らが現在直面している脅威に対して不適切な手段である。  

あなたの規制当局も同じ質問をしています

3月3 、 2026 （イランが米国の銀行を軍事標的として公に名指しする9日前）、ニューヨーク州金融サービス局（NYDFS）は、規制対象となっているすべての金融機関のCISOに業界向け書簡を送付した。

NYDFSは、以下の3つの具体的な規制を挙げた。

• 最小特権アクセス  
• 不正 行為 に対する監視強化
• 運用上の回復力テスト  

上記のすべてと照らし合わせてこれら3つのコントロールを読んでみると、その配置は偶然ではないことがわかります。  

• 最小権限アクセス。これにより、北朝鮮の工作員であろうと、管理者権限を盗んだイランの工作員であろうと、認証情報を持つ攻撃者が一度侵入した後にどこまで移動できるかが制限される。‍ ‍
• 不正アクセスを監視しています。これは、採用プロセスを通過した人材の横滑りを検知する方法です。‍ ‍
• 運用上の回復力テスト。これ これは、封じ込めアーキテクチャが実際に負荷のかかった状況下で機能することを、仮定するのではなく検証する方法です。  

ニューヨーク州金融サービス局は、将来の要件については説明していない。NYDFSの規制を受けるすべての機関は、4月15 、 2026までにパート500への準拠を証明しなければなりません。  

規制に関する議論と脅威に関する議論は、今や同じ議論になっている。ほとんどの銀行では、今でもそれらを別々の部屋で行っています。  

実際に重要な質問

銀行は脅威を寄せ付けないために、長年にわたって壁を築いてきた。しかし、それらの壁は正当なアクセスに対しては何の役にも立たない。工作員が直接雇われるにせよ、身分証明書を盗むにせよ、薬物検査で替え玉を使うにせよ、彼らは既にゲートを通過しているのだ。

すべてのCISOが自ら答えられる必要がある質問は次のとおりです。  

もしあなたのネットワーク上の認証済みユーザーが今すぐ横方向への移動を開始した場合、どれくらいの距離まで到達できるでしょうか？どれくらいの速さでそれに気づけるでしょうか？そして、それを阻止するにはどうすれば良いでしょうか？  

問題はもはや、銀行が横方向の移動抑制策を講じる必要があるかどうかではない。問題は、銀行が取締役会、規制当局、そして自らに対して、適切な行動をとったことを証明できるかどうかだ。  

方法をご覧ください Illumioは金融機関を支援します リスクを軽減し、事業継続性を維持する。