エグゼクティブサマリー

金融サービスセクターは2025年、前例のないサイバー脅威ランドスケープに直面しています。金融機関の65%が侵害を報告し ― そのうち90%が第三者ベンダー起因 ― 業界の相互接続性が最大の脆弱性となりました。直接損失は94億ドルに達し、侵害1件あたりの平均コストは608万ドルとあらゆるセクターで最高でした。

これは単に既存の脅威の進化ではなく、攻撃手法の根本的な転換です。脅威アクターは、要塞化された金融機関を直接標的にするよりも、サプライチェーンを攻撃する方が効率的であると認識しました。単一の侵害されたベンダーが数十の銀行へのアクセスを解放し得ます。ランサムウェアギャングは、銀行サービスにとって稼働時間が死活的に重要であると理解し、金融標的向けに作戦を特化させました。

本レポートは、2025年に金融サービスを特に標的とするサイバー脅威を分析し、攻撃ベクター、脅威アクターの戦術、強靱な機関と被害者を分ける防御戦略を検証します。金融セクターのセキュリティ態勢は、個別の機関の存続だけでなく、より広範な経済システムの安定性をも決定します。

金融セクター脅威ランドスケープ

65%
侵害された機関

侵害を報告した金融企業

94億ドル
直接損失

2025年のセクター総損失

90%
第三者起因

ベンダー経由の侵害

608万ドル
平均侵害コスト

業界中最高

第三者の危機:あなたのベンダーがあなたの脆弱性

2025年の金融セクター侵害の90%は、直接攻撃ではなく第三者ベンダー起因でした。MOVEit侵害だけで**2,773の組織**(主要金融機関を含む)に影響を及ぼしました。第三者アクセス資格情報は、銀行に対する成功したランサムウェア攻撃の**67%**で使用されました。金融機関は平均**1,200以上のベンダー関係**を持ち、それぞれが潜在的な攻撃対象領域です。サプライチェーンが主要な攻撃ベクターとなりました。

金融サービスに対する主要攻撃ベクター

サプライチェーン侵害

第三者ソフトウェアおよびサービスプロバイダーが主要な侵入点。攻撃者はベンダーを侵害して複数の金融機関への同時アクセスを獲得。MOVEit、SolarWinds型攻撃がセクターを壊滅。

ランサムウェア作戦

2025年、金融機関の78%がランサムウェア試行に直面。LockBit 4.0やBlackCat/ALPHVなどの銀行特化ギャングが、二重・三重脅迫戦術で機関を標的とする。

API悪用

Open Banking APIは340%多くの攻撃対象領域を生んだ。金融APIエンドポイントの42%は重大な脆弱性を持つ。攻撃者は認証欠陥を悪用し顧客データにアクセスして不正取引を開始する。

資格情報攻撃

金融資格情報はダークマーケットで高値を呼ぶ。フィッシング、資格情報詰込み、セッションハイジャックが顧客と従業員の双方を標的に。MFAバイパス手法はますます洗練されている。

銀行に対するDDoS

金融サービスへのDDoS攻撃は154%増加。アプリケーション層攻撃は重要時期にオンラインバンキング、決済処理、取引プラットフォームを特に標的とする。

モバイルバンキングマルウェア

モバイルプラットフォーム向けバンキングトロイは89%増加。オーバーレイ攻撃、アクセシビリティサービスの悪用、偽の銀行アプリが資格情報を盗み2要素認証コードを傍受する。

金融サービスを標的とするランサムウェアグループ

ランサムウェアギャングは、金融機関のセクター固有の圧力点と規制要件を理解し、攻撃のための特化能力を開発しました。

グループ金融セクター戦術2025年の注目すべきインシデント平均身代金要求額
LockBit 4.0規制報告の脅迫を伴う三重脅迫地方銀行14行、保険会社3社420万ドル
BlackCat/ALPHVデータ流出に注力、API標的化投資会社、暗号資産取引所380万ドル
Cl0pファイル転送ソフト経由の大量悪用MOVEitキャンペーンで金融企業89社が影響250万ドル
PlayLiving-off-the-land手法、AD侵害クレジットユニオン、住宅ローンサービサー190万ドル
Royal長期潜伏、包括的データ盗難ウェルスマネジメント、ファミリーオフィス280万ドル

Open Banking APIセキュリティ危機

Open Banking規制により、金融機関は第三者プロバイダーにAPIを露出することを余儀なくされ、攻撃対象領域が劇的に拡大しました。2025年、金融サービスのAPI関連インシデントは287%増加しました。金融APIエンドポイントの42%は、破られた認証や過剰なデータ露出を含む重大な脆弱性を含んでいます。

攻撃者は迅速に適応しました。API固有の攻撃は現在、金融サービスに対する全Webアプリケーション攻撃の31%を占めます。一般的な手法には、他の顧客のアカウントにアクセスするためのBOLA(Broken Object Level Authorization)、取引限度額を変更するためのマス・アサインメント攻撃、大規模な資格情報詰込みを行うためのレート制限バイパスが含まれます。

課題はシャドウAPIによってさらに複雑化しています ― 存在するが文書化も監視もされていないエンドポイントです。金融機関は平均127のシャドウAPIを持ち、それぞれが監視されていない攻撃対象領域を意味します。APIセキュリティは金融サービスにとって死活的になりました。

地域別金融脅威分析

43%
北米

ランサムウェアで最も標的化される地域

31%
ヨーロッパ

DDoSとハクティビスト標的化

26%
アジア太平洋

国家支援型スパイ活動に注力

2025年の主要金融セクターインシデント

規制とコンプライアンスへの影響

PCI DSS 4.0の2025年3月期限により、認証されたスキャンの義務化、ロギング要件の強化、第三者セキュリティ評価のより厳格化が導入されました。非準拠の機関は、インターチェンジ手数料の増加と決済ネットワーク除外の可能性に直面します。

重大なサイバーセキュリティインシデントを4営業日以内に開示することを要求するSEC規則は、インシデント対応のダイナミクスを変えました。金融機関は迅速な開示要件と調査ニーズのバランスを取らなければなりません。早期の開示は不完全な修復を露呈し得ます。

2025年1月発効のEUのDORA規制は、ICTリスク管理フレームワーク、インシデント報告、レジリエンステスト、第三者リスク管理を義務付けます。金融エンティティはサイバー脅威に対する運用レジリエンスを実証する必要があります。

ニューヨークの更新されたサイバーセキュリティ要件には、強化されたアクセス制御、ペネトレーションテスト要件、取締役会レベルのサイバーセキュリティ専門知識の義務が含まれます。非準拠への罰則は大幅に増加しました。

金融セクター防御戦略

1

第三者リスク管理

年次評価だけでなく継続的なベンダー監視を実装します。SOC 2 Type IIレポートを要求し、ベンダー統合のペネトレーションテストを実施し、監査権を伴う契約上のセキュリティ要件を確立します。

2

APIセキュリティプログラム

脅威検知を備えたAPIゲートウェイ、ランタイムAPI保護、シャドウエンドポイントを特定する継続的なAPIディスカバリを含む、API固有のセキュリティ統制を導入します。すべてのAPIに厳格な認証と認可を実装します。

3

ランサムウェアレジリエンス

バックアップベースの復旧を超えて移行します。不変バックアップを実装し、復旧手順を毎月テストし、オフライン復旧能力を維持し、二重・三重脅迫シナリオのプレイブックを開発します。

4

ゼロトラストアーキテクチャ

ネットワーク内の暗黙的信頼を排除します。マイクロセグメンテーション、継続的認証、最小権限アクセスを実装します。侵害を想定し、それに応じてアーキテクチャを設計します。

5

重要サービスのためのDDoS保護

オンラインバンキング、決済処理、取引プラットフォームに専用のDDoS保護があることを確保します。アプリケーション層攻撃には、単なるボリュームスクラビングではなくアプリケーション認識緩和が必要です。

6

脅威インテリジェンスの統合

金融セクター固有の脅威インテリジェンスを消費します。FS-ISACや地域共有コミュニティに参加します。インテリジェンスを検知・対応ワークフローへ運用化します。

7

インシデント対応の準備

規制通知要件を考慮したセクター固有のインシデント対応計画を策定します。ランサムウェア、データ侵害、第三者侵害シナリオを想定した卓上演習を実施します。

TR7が金融機関をどのように保護するか

金融グレードのWAAP

金融アプリケーション向けに設計されたルールセットを備えたWebアプリケーションファイアウォール。インジェクション攻撃、API悪用、銀行システムを標的とするアプリケーション層悪用から保護します。

DDoS保護

オンラインバンキングと決済システムをボリューム型およびアプリケーション層攻撃から守る多層DDoS緩和。SLAに裏付けられた可用性保証付き。

ボット管理

正当な顧客を、資格情報詰込み、アカウント乗っ取り試行、自動詐欺から区別します。顧客体験を維持しつつAPIを悪用から守ります。

API保護

認証強制、レート制限、異常検知を含む包括的なAPIセキュリティ。Open Banking APIを悪用から保護します。

アクセス制御

ゼロトラストアーキテクチャを支えるきめ細かなアクセス制御ポリシー。認証のための地理的制限、デバイスフィンガープリンティング、行動分析。

コンプライアンスレポート

PCI DSS、SOC 2、規制コンプライアンス要件を支援する包括的なロギングとレポート。セキュリティイベントの監査証跡。

参考文献と情報源

業界横断のデータ侵害の年次分析と詳細な金融セクター統計。https://www.verizon.com/business/resources/reports/dbir/

Financial Services Information Sharing and Analysis Centerによる金融セクターの包括的な脅威分析。

金融サービスを侵害コストが最高のセクターとして示す業界別詳細コスト分析。https://www.ibm.com/security/data-breach

金融サービスにおける第三者リスクとサプライチェーンセキュリティに関する調査。

金融セクターにおけるサイバーセキュリティのガイドラインとベストプラクティス。https://www.nist.gov/cyberframework

金融インフラを守る

金融機関は特化した防御を要する固有のサイバー脅威に直面します。TR7は、規制コンプライアンス向けに設計されたソリューションで、銀行アプリケーション、決済システム、金融APIに対する包括的な保護を提供します。

DDoS保護を見る