阿波銀行に不正アクセスで情報漏洩､地方銀行が繰り返しサイバー攻撃に遭う"地銀ならではの構造的な課題"

地方銀行では、不正アクセス、内部不正、設定ミスなどによる情報漏洩が繰り返し発生している。大都市圏の金融機関と比べて報道が限定的であるため目立ちにくいが、実態としては決して珍しいものではないのである。

地方銀行は地域のインフラであり、その信頼は地域経済そのものを支えている。今回の阿波銀行の事案をはじめ、数々の地方銀行の失態は、その信頼がいかに脆弱であるかを示したと言えるだろう。

不正アクセスが明らかになった徳島の地方銀行である阿波銀行（写真：papa88 / PIXTA）

さらに重要なのは、一度被害に遭った後も繰り返し情報漏洩が起きているということだ。

例えば、阿波銀行では24年6月には委託先企業へのランサムウェア攻撃により顧客情報漏洩の可能性が指摘され、25年12月には元職員による600件以上の顧客情報持ち出し、さらに21年にも同様の内部不正が発覚している。

すなわち、不正アクセス、委託先経由、内部犯行という複数の経路で情報漏洩リスクが顕在化しているのである。

なぜ起こる？地方銀行特有の構造的な課題

では、なぜこのような事案が繰り返されるのか。その背景には、地方銀行特有の構造的な課題が存在する。

第1に、人的・技術的リソースの制約である。都市銀行等の大手金融機関と比較して、専門人材やセキュリティ投資が十分でないケースも多く、その結果として業務の外部委託や共同システムの利用に依存せざるを得ない状況がある。

これは効率化の観点では合理的であるが、その分だけ攻撃の入り口が増え、管理の難易度も飛躍的に高まる。

実際、外部委託の問題は、今回の事案を考えるうえで避けて通れない論点である。24年に発生したイセトーのランサムウェア被害では、多数の地方銀行が委託先を経由して情報漏洩のリスクにさらされた。