Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

サイバー対策不備で24億円の罰金

セキュリティ対策不足への罰金は、GDPRが施行されてからどんどん増額されていますが、善管注意義務的な内容で言えば、英流通の大手テスコに課された額は、今後事件を起こした企業へのベンチマークとなる罰金額となるかも知れません。

headlines.yahoo.co.jp

 英金融行為規制機構(FCA)は1日、スーパー英最大手テスコの金融部門テスコ・バンクが受けた2016年11月のサイバー攻撃を巡り、同行に1,640万ポンドの罰金を科したと発表した。予測できるリスクへの対策を怠った上、攻撃を受けた後の対応にも不備があったため
 このサイバー攻撃は個人の当座預金口座を狙ったもので、8,261件の口座が影響を受け、うち34件の取引により総額226万ポンドが奪われた。テスコ・バンクは全額を口座保有者に返還している。同行は、顧客データの窃盗または紛失はなく、システムへの侵入はなかったと説明している。
 同様のサイバー攻撃の手口については、クレジットカード大手のビザ(VISA)が事前に会員企業に警告していたが、テスコ・バンクはクレジットカードでは対策を取ったもののデビットカードは無防備のままだった。また攻撃が始まって顧客から通報があっても対応が遅れ、最終的には攻撃開始から問題を解決するまで48時間を要した。

(nna記事より引用)

 

◆キタきつねの所感

罰金1640万ポンド(日本円で約24.5億円)はFacebook、Equifax、Uber等のもっとインパクトが大きな事件の訴訟や罰金確定が続いている中では、それほど大きな罰金に見えないのですが、

 

テストの金融部門(テスコ・バンク)は2016年当時、4万口座がハッキング攻撃を受け、8,261件の口座が影響を受け、34件226万ポンド(約3.4億円)が奪われたとされています。

罰金額を口座被害を受けた8,261件で割ると、、、

  • 1640万ポンド/8,261件=1985ポンド(約29.6万円)

直接の被害が発生した34件で考えてしまうと、1件当たりの罰金額は、、、

  • 1640万ポンド/34件=48.2万ポンド(約7,194万円)

になってしまいます。

 

しかし、この罰金額は

 なお、テスコ・バンクはFCAの調査に積極的に協力した上、早期の決着で合意したため、罰金は約3,360万ポンドから減額されている。

(nna記事より引用)

実は半分に減額された結果なので、直接被害1件当たりの罰金額が1億円を超えてしまうというのが、この事件に対する英金融好意規制機構(FCA)の判断です。

 

日本においては、過去の経緯からクレジットカードとデビットカードが別々の会社(カード会社と銀行)で運営されていた経緯があり、同じような事は起こりくいかも知れませんが、ばらばらの運営が故に、同時攻撃を受けると、同じように連携ミスで対応が遅れてしまう事はありえるかも知れません。

 

そうした意味において、予想できる攻撃から顧客を守る事を怠った』事に対して、国やステークホルダーから厳しく問うようになってきている、金融機関はそう考えるべきなのかも知れません。

 

cybersecurity-index.com

銀行強盗のイラスト

 

 

更新履歴

  • 2018年10月7日PM(予約投稿)