2つの侵害、1つの銀行:ICBCサイバー危機からの教訓

2023年後半、26兆ドルの米国債市場に大きな混乱が波及した。銀行取引は停止した。通信システムが崩壊した。数十億ドルが危険にさらされていました。  

ソースは?ランサムウェア攻撃は、世界最大の銀行の 1 つである中国工商銀行 (ICBC) を標的にしました。  

それから1年も経たないうちに、同銀行は今度はロンドン支店でさらに別の侵害に直面した。  

「ICBCは両方の最悪の状況に直面しました」と、イルミオのインダストリーソリューションマーケティング担当シニアディレクターであるラグー・ナンダクマラ氏は説明します。「2023 年にはサービスの中断が発生し、2024 年にはデータ侵害が続きました。」

どちらの事件も、世界の銀行業務における体系的な脆弱性を露呈し、高度なサイバー脅威に対する金融セクターの回復力について疑問を引き起こしました。

詳しく見る: 2 つの侵害の構造  

2023年11月:ICBC米国ランサムウェア攻撃

2023年11月、 LockBitグループはICBCの米国ブローカーディーラー部門に対して計画的なランサムウェア攻撃を開始しました。  

このストライキにより、米国債取引とレポファイナンスの管理に不可欠な主要システムが混乱しました。  

その結果、貿易通関が停止し、支払いの遅延が市場全体に波及しました。

運用上および財務上の影響に関する主な詳細

• ‍System shutdowns: Core platforms for settling payments and clearing trades were inaccessible for days.
• ‍Emergency actions: ICBC injected capital into its U.S. division to stabilize operations after taking on a $9 billion debt to BNY Mellon, which was more than the division’s net capital​.
• ‍Workarounds: Bank employees relied on USB drives to process trades manually. During the crisis, they used Gmail instead of their corporate emails, which raised security concerns.​

SECの対応

米国証券取引委員会(SEC)は2023年のICBC侵害を調査し、記録管理とコミュニケーションに問題があることを発見した。  

彼らは罰金を科さなかった。しかし、この事件は、運用上の回復力は交渉の余地がないことを明らかにしました。

「SECの対応は興味深いものでした。『二度とこんなことが起こらないように』と手首を平手打ちするようなものでした。しかし、ICBCの透明性と迅速な対応も認めています。」– ラグー・ナンダクマラ

2024年9月:ICBCロンドン支店のデータ侵害

それから1年も経たないうちに、ハンターズ・インターナショナル・ランサムウェア・グループがICBCのロンドン支店に侵入した。  

攻撃者は、顧客の機密情報や内部運用ファイルを含む 6.6 テラバイトのデータを盗みました。

「データ流出の課題は未知数です。攻撃者は将来そのデータをどのように使用するのでしょうか?」– ラグー・ナンダクマラ

2024年のICBC事件の主な詳細

• 身代金の要求: 攻撃者は、金銭的要求が満たされなければデータを公開すると脅迫しました。
• 世界的な評判:この侵害はICBCの体系的な脆弱性を浮き彫りにし、国境を越えた業務セキュリティについて疑問を引き起こした。

「2023年と2024年のICBCの侵害は、セキュリティ防御の重大なギャップを露呈しました。改善へのコミットメントにもかかわらず、変化は一夜にして起こるものではないことを示しました。」– ラグー・ナンダクマラ

グローバルバンキングはリスクにさらされていますか?

ある支部の弱さが、どのようにして機関全体とそのグローバルな運営を危険にさらすのでしょうか?

ICBCの侵害は、最初は米国で、次にロンドンで発生し、その攻撃は業務を混乱させ、銀行の評判を傷つけ、サイバーセキュリティ防御の重大なギャップを露呈させました。  

Raghu氏は、「ICBCの侵害は、1つのブランチまたはシステムの1つの弱点がネットワーク全体を危険にさらす可能性があるという厳しい真実を示しました」と説明します。  

ICBCのどちらの侵害も、財務業務の仕組みにおける大きな弱点を明らかにした。

• システムの依存関係: 米国の攻撃は、相互接続された貿易システムがいかに脆弱であるかを示し、単一障害点が世界中の市場を混乱させる可能性がある。
• ‍Cross-border inconsistencies: The London breach showed gaps in harmonized cybersecurity protocols​.
• ‍Crisis vulnerabilities: Both incidents showed the operational risks of using temporary, insecure solutions such as manual trading or unsecured email platforms.

「侵害が現実であると仮定してください。攻撃は避けられません。ICBCの侵害はその一例です。」– ラグー・ナンダクマラ

重大な財務上の侵害の追跡

ICBCの侵害は、金融機関を狙ったサイバー攻撃の増加傾向の一環である。  

主なインシデントは次のとおりです。

• 2015 Carbanak Gang: This cybercrime group stole over $1 billion by using malware to hack banks and change account balances.
• 2016 Bangladesh Bank Heist: Hackers stole $81 million from Bangladesh Bank’s account at the Federal Reserve Bank by exploiting vulnerabilities in the SWIFT payment system.
• 2017 Equifax Data Breach: This was one of the largest data breaches in history, affecting 147 million people. Hackers found a weakness in Equifax's web application and used it to get access to sensitive personal information.
• 2018 Cosmos Bank Attack: Cybercriminals stole $13.5 million—hacking the bank’s ATM server to trigger fake transactions.
• 2019 Capital One Data Breach: A former employee exploited a misconfigured firewall to access the personal data of more than 100 million customers.
• 2020 Finastra Ransomware Attack: The fintech giant was hit by a ransomware attack which disrupted its services and operations.
• 2021 CNA Financial Ransomware Attack: One of the largest U.S. insurance companies paid $40 million after a cyberattack encrypted its data.
• 2022 Ronin Network Hack: Hackers stole $625 million from the blockchain-based gaming network, affecting financial transactions in the ecosystem.
• 2023 ICBC Ransomware Attack: The LockBit group attacked ICBC’s U.S. financial services division with ransomware, disrupting U.S. Treasury trading.  
• 2023 MOVEit Transfer Data Breach: A flaw in the MOVEit Transfer software exposed sensitive data from several financial institutions.
• 2024 ICBC London Ransomware Attack: The Hunters International ransomware group stole 6.6 terabytes of data from ICBC’s London branch and threatened to release it if their demands weren’t met.
• 2024 Cloud IT Service Provider Attack: A ransomware attack on a cloud IT provider caused outages at 60 U.S. credit unions, highlighting the risks of relying on third parties. ‍

2016年のバングラデシュ銀行強盗事件:ターニングポイント

• 何が起きたか: 2016 年 2 月、サイバー犯罪者が SWIFT 決済システムの脆弱性を悪用し、ニューヨーク連邦準備銀行にあるバングラデシュ銀行の口座から 8,100 万ドルを盗みました。
• 彼らはそれをやった方法: ハッカーは銀行のシステムをスパイするためにマルウェアをインストールしました。彼らは SWIFT トランザクションを監視し、操作し、不正な送金リクエストを送信しました。彼らは10億ドル近くを目指していましたが、あるリクエストのタイプミスが疑惑を引き起こし、攻撃を早期に停止しました。
• 影響:この強盗により、重大な経済的損失と風評被害が発生し、銀行間送金プロトコルの弱点と、より強力なセキュリティ対策の必要性が明らかになりました。
• 重要なポイント:
  • 安全な支払いシステムは重要です。SWIFT のような銀行間システムには、操作を防ぐための堅牢なセキュリティ プロトコルが必要です。
  • 継続的な監視が不可欠です。監視と異常アラートによる早期検出により、影響を軽減できた可能性があります。

DORAが金融セクターのサイバーレジリエンスをどのように形成しているか

EU のデジタル運用レジリエンス法 (DORA)は、これらの侵害で明らかになった多くの脆弱性に対処するための枠組みを提供します。  

DORA は次のように強調しています。

• レジリエンステスト: 高度なサイバー攻撃に耐えられるシステムを確保する  
• インシデント報告:違反に対する透明性と説明責任の確立  
• プロアクティブなリスク管理:インシデントが発生する前に運用リスクを特定して軽減する  

「DORAのような規制の目標は単純です。サイバー攻撃が単一の企業であれ、金融システム全体に大きな損害を与えたりするのを防ぐことです。」– ラグー・ナンダクマラ  

サイバー犯罪者の進化に伴い、2015年から2024年にかけての金融セクターに対する一連のサイバー攻撃は、強力な規制の枠組みと、金融サービスとその主要なサービスプロバイダーにおけるサイバーレジリエンスの向上という2つの緊急のニーズを浮き彫りにしています。

‍Are you interested in learning more about DORA compliance? Download our free eBook, Strategies for DORA Compliance: The Key Role of Microsegmentation.

Sources: ‍

• ‍Reuters ‍
• レジスター