検索
ニュース

サイリーグHD、S&Jと協業で“事前契約型”インシデント対応サービスを開始 徳丸氏が「オンライン証券を巡る事件」のからくりについて講演三輪信雄氏、エグゼクティブ・アドバイザー就任

サイリーグホールディングスは2025年5月20日、S&J 三輪信雄氏のエグゼクティブ・アドバイザー就任、2025年7月から事前契約型のインシデント対応サービスを提供することを発表した。サイリーグホールディングス エグゼクティブ・フェローの徳丸浩氏は「最新のサイバー脅威と求められる対策」と題して講演した。

Share
Tweet
LINE
Hatena

S&J 代表取締役社長 三輪信雄氏

 サイリーグホールディングス(HD)は2025年5月20日、セキュリティ監視サービスやセキュリティ事故対応などのサイバーセキュリティ事業を展開するS&J 代表取締役社長 三輪信雄氏が同日からサイリーグHDのエグゼクティブ・アドバイザー就任を発表した。また、2025年7月から事前契約型のインシデント対応サービスを提供することを併せて発表した。

 サイリーグHDはチェンジホールディングスの子会社で、2025年2月には三井住友フィナンシャルグループ、三井住友海上火災保険と共に、サイバーセキュリティ対策を支援するSMBCサイバーフロントを設立している。グループ会社のイー・ガーディアン、EGセキュアソリューションズと共にサイバーセキュリティ事業の拡大を目指す。

千里眼と順風耳で――S&J 三輪氏が考える本当のSOCとは

 新たにエグゼクティブ・アドバイザーに就任した三輪氏は、今回の協業で開発した新たなサイバーセキュリティサービス「CyLeague サイバーレジリエンス・パッケージ 〜サイバー攻撃対応サービス〜」に関して、これまで数々のインシデントに対応してきた経験から、「最も困るのは、最初にNDA(秘密保持契約)を結ぶのに時間がかかることだ」と明かす。加えて、事件があってからシステム構成やリモートアカウントの管理状況、パッチの適用状況を調べることになるが、「すぐに答えられることはまずない」と訴える。


S&Jが提供するSOCサービス(提供:サイリーグホールディングス)

 新サービスでは、事前にNDA契約を結び、平時でシステム構成などの情報を収集しておくことでタイムラグをなくすことを目指す。対応はS&JにおけるSOC(Security Operation Center)サービスが担うが、三輪氏は「テレビなどでよく出てくるSOCは、『暗い部屋にPCが並んでいて、世界地図があって』といったイメージだが、それを眺めて何かが起きたら知らせて後はお客さまに任せる『アラートお知らせサービス』的なものだ」と説明する。S&Jが提供するサービスは「インシデント対応がセット。あるいはアドバイスやコンサルティングもセットであるべきだ」と考え、サービスを提供しているという。

 三輪氏は加えて、今回の発表はOT(Operational Technology)環境に関しても進めることに触れる。「もはや閉じた世界ではなく、どこかにActive Directoryが設置されていたり、間接的にインターネットにつながったりしている。ここが攻撃されたときに構成を聞いたり、NDAを結んだりしている余裕はない。それをサイリーグHDと進めていこうというものだ」


S&JのSOCはフルテレワーク「アクションのためのコミュニケーションの場だ」(三輪氏)(提供:サイリーグホールディングス)

徳丸氏が語る「オンライン証券を巡る事件」のからくり


EGセキュアソリューションズ 取締役 CTO 兼 サイリーグホールディングス エグゼクティブ・フェロー 徳丸浩氏

 発表会では、EGセキュアソリューションズ 取締役 CTO(最高技術責任者) 兼 サイリーグホールディングス エグゼクティブ・フェローの徳丸浩氏が「最新のサイバー脅威と求められる対策」と題して講演した。とりわけ昨今注目のフィッシングをベースとしたオンライン証券を狙うサイバー攻撃に焦点を当て、この背景にある現状を語る内容だ。

 オンライン証券を巡るサイバー攻撃は、犯人があらかじめ安値で株を買い集め、取得していた被害者の口座に不正にログインし、犯人が購入していた株を高値で売却して利益を得るというものだ。徳丸氏は金融庁が2025年5月にアップデートした、2025年4月の約1481億円という巨額の被害状況(参考)やクレジットカードの不正利用状況、インターネットバンキングの不正利用状況を紹介しつつ、「これまでオンライン証券会社の不正利用の統計が見つからない」と話す。

 徳丸氏はこの点に関して、オンライン証券は証券口座から出金する際の銀行口座は、登録氏名と同姓同名の口座のみ許可するということが「一種の出口対策になっていたから、不正が起こりにくかったのではないか」と推測する。


オンライン証券では「出口対策」が機能していた(提供:サイリーグホールディングス)

 2020年にSBI証券で起きた事件に、徳丸氏は注目する。犯人はSBI証券の従業員になりすましてログインした後、顧客の登録情報から偽造した本人確認書を作成。さらに「SBI証券と同姓同名の口座」を作成することで出金したという事例が存在する。このため、2020年当時も出金先口座登録時の本人確認強化などの“出口対策”を強化したのだが、それでも被害は継続して発生している。


オンライン証券の出口対策が攻略された事例(提供:サイリーグホールディングス)

 なぜこのような事件が発生し続けているのだろうか。攻撃経路についてははっきりとは分かっておらず、フィッシングによるもの、認証情報を窃取するマルウェア「Infostealer」によるものなど、複数の説があるという。徳丸氏は「推測」としつつも、「フィッシングによるものではないかと見立てている」と明かす。

 フィッシング対策として考えられている「二要素認証」に関して徳丸氏は「各証券会社が導入を進めているが、中間者攻撃やソーシャルエンジニアリングを駆使したフィッシングのテクニック向上があり、この対策は完全ではない」と警鐘を鳴らす。2005年には暗号、情報セキュリティ研究者ブルース・シュナイアー氏が「The Failure of Two-Factor Authentication」というブログ記事を公開しており、20年前に現在の状況を予言していたという


ブルース・シュナイアー氏による2005年の記事「The Failure of Two-Factor Authentication

 徳丸氏はこれらの対策として、金融庁が推奨するものを例示する。これらは基礎をカバーしており、「手堅い対策だ」と評価する。


金融庁の推奨対策(提供:サイリーグホールディングス)

 加えて徳丸氏、デジタル証明書を応用した「パスキー」の利用も推奨する。パスキーはフィッシング耐性があり、大手ベンダーも対応を表明しているものの「ただし、ちょっと難しい」と徳丸氏。「従来の方式が破られていて、安全なやり方があると分かっている。ならば、難しくても頑張ってやろうじゃないか」

 ただし、そのパスキーもサービス提供側が対応していなければならない。そこで徳丸氏は、利用者ができる対策として「パスワード管理ツールの利用」を提案する。フィッシングサイトを表示したとしても、パスワード管理ツールなら正しいドメインのページのときだけ、パスワードを自動入力する。「これも少々使い方が難しいが、そもそもフィッシングは利用者側の問題であり、利用者側も頑張って安全にしなくてはならないものだ。『勉強したくない』『安全だけ欲しい』というは正直無理だ……ということを、証券会社も言いたいのではないだろうか」と指摘した。


認証強化の方法は(提供:サイリーグホールディングス)

Copyright © ITmedia, Inc. All Rights Reserved.