2025.07.14
2025年7月4日に公開した「キャンドルスティック」は、阿部寛が演じる天才ハッカーが、AIを欺いてFX市場で巨額の利益を得る計画の顛末を描く金融サイバーサスペンス作品です。
実際、現実社会でもAIや金融システムを標的としたサイバー攻撃や不正送金事件が発生しています。そこで今回は、実際に起きた銀行や金融機関へのサイバー攻撃、企業を狙った大規模な事件の一部を紹介し、現実とフィクションの違いと共通点、教訓をまとめてみたいと思います。
- もくじ
1.映画「キャンドルスティック」と現実のサイバー事件
1-1 映画のあらすじ
2025年7月4日に公開された映画『キャンドルスティック』は、FX市場を舞台にした金融サイバーサスペンス作品です。
阿部寛さん演じる天才ハッカーが、最先端のAIトレーディングシステムに挑み、FX市場で巨額の利益を狙うストーリーが展開されます。
映画の中核となるのは、AIが稼働する金融システムに、主人公をはじめとするアウトローたちがどのようにして挑み、システムの脆弱性を突いて「AIを騙す」という攻防戦でしょう。
高度なテクノロジーと知略を駆使したコンゲームが描かれます。
1-2 実際の金融システムで"ネット詐欺"は起こり得る?
映画『キャンドルスティック』で描かれる、AIや金融システムへのサイバー攻撃は、決してフィクションの世界だけの話ではありません。
現実においても、FX、銀行、株式投資のシステムなど、あらゆる金融システムがサイバー犯罪者の標的となっていて、様々な事件が報じられています。
最近の事例では、2024年に北朝鮮系のグループである「TraderTraitor」による暗号資産事業者への攻撃があります。これは、警察庁からも注意喚起が出されるほどでした。
北朝鮮を背景とするサイバー攻撃グループTraderTraitorによる暗号資産関連事業者を標的としたサイバー攻撃について(警察庁Webサイト)
「DMMビットコイン」へのサイバー攻撃は北朝鮮系「TraderTraitor」、ソーシャルエンジニアリングの手法を警察庁らが公表(INTERNET Watch)
少々趣は異なりますが、日本国内では他にも、インターネットバンキングを利用した不正送金事件は深刻な問題となっています。
警察庁がまとめた「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によると、2024年には発生件数4,369件、被害総額は約86億9,000万円でした。手口はフィッシングメールが9割といいます。
金融庁も「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています」として注意喚起をしています。
これによると2025年1月から5月までの不正アクセスは10,422件、不正取引件数は5,958件にものぼっています。ある意味、右を見ても左を見ても不正アクセス......といった状況になりつつあります。
1-3 フィクションと現実の「手口」から得る「教訓」
映画やドラマで描かれる金融機関へのハッキングは、しばしば天才的な個人が瞬時にスパッとシステムを突破するような華麗な演出がなされています。
しかし、現実のサイバー攻撃は、地道な情報収集やソーシャルエンジニアリング、複数の手法を組み合わせた継続的で計画的な攻撃が主流です。地味にジワジワと攻めてくるので、逆に怖いところではあります。
実際の攻撃では、ソーシャルエンジニアリングやフィッシング、マルウェア等々の手段によって認証情報を盗み、システムの脆弱性を突いて不正アクセスを行うという、手間と時間のかかる手口が用いられます。
ただし、映画で描かれるようなAIを欺くといった高度で巧妙な攻撃もないわけではありません。今後、AI技術の普及とともに、さらに巧妙な攻撃のリスクが高まっていくでしょう。犯人側に立つと、スパッと行くと証拠が残る可能性が少しは低くなるかもしれないからです。
フィクションと現実の両方から学べる重要な教訓があります。それは「どんなに強固に見えるシステムでも、完全に安全なものは存在しない」ということです。その認識を持つことが大切だと思います。
そして、「システムのセキュリティは、技術だけでなく、それを使う人間の意識によっても大きく左右される」ことも共通かもしれません。
2.金融システムを狙った主なサイバー事件
2-1 バングラデシュ中央銀行SWIFT不正送金事件の手口と被害
金融機関を狙ったサイバー事件で有名なのは、2016年に発生したバングラデシュ中央銀行SWIFT不正送金事件かもしれません。
世界の金融業界に大きな衝撃を与えた大規模なサイバー攻撃事件です。この事件では、国際銀行間通信システム「SWIFT」の認証情報が盗まれ、約8,100万ドル(当時のレートで約90億円)が不正に送金されたとされています。
攻撃者の手口は非常に巧妙でした。
まず、バングラデシュ中央銀行のシステムに侵入し、SWIFT端末へのアクセス権限を窃取。
その後、銀行内部のPCにマルウェアを仕込んで、正規の送金指示を装った偽の送金指示を、SWIFTネットワークを通じて複数回にわたって実行します。攻撃者は不正送金の痕跡を消すため、監視システムのログを改ざんしていました。
最終的に盗まれた資金は、複数の国の銀行口座を経由して資金洗浄され、大部分の回収は困難となったようです。
この事件は、金融機関のシステム管理だけでなく、内部統制の強化、多層的な認証システムの導入、そして国際的な連携体制の重要性を世界中の金融機関に示す、大きな教訓となりました。
2-2 日本のネットバンキング不正送金・個人情報漏洩事件あれこれ
上でも触れましたが、日本国内でも、ネットバンキングを狙った不正送金事件や企業からの個人情報漏洩事件が後を絶ちません。これらの事件は手口の多様化が進んでおり、私たち個人の生活にも直接的な影響を及ぼす深刻な問題となっています。
特に被害が顕著なのが、フィッシング詐欺を起点とするネットバンキングの不正送金です。
ネットバンキング不正送金被害の多くがフィッシングによるID・パスワードの詐取が原因とされています。
銀行を装った精巧な偽のメールやSMSを送りつけ、偽サイトに誘導してログイン情報をだまし取る手口ですが、最近は、見分けがつかない......というより、本物をそのまま流用しているケースもあり、一見しただけでは判断が難しいため、ツールを使うなどの対応が必要です。
大規模な個人情報漏洩事件、個人情報の悪用も頻繁に発生しています。
2016年には、日本で、南アフリカの金融機関の顧客情報が悪用され、偽造された大量のクレジットカードを用いて約18億6000万円が引き出される事件が発生し、その手口に誰もが驚かされたのも記憶に新しいところです。
2-3 FX会社へのDDoS攻撃事件
日本国内のFX会社、金融機関も、サイバー攻撃の標的となっています。とくに深刻なのが、DDoS(分散型サービス拒否)攻撃による被害とされています。
DDoS攻撃とは、複数のコンピューターから大量のアクセスを集中させることで、ウェブサイトやオンラインサービスを機能停止に追い込むサイバー攻撃の手法のことです。
FX取引は瞬時の判断と操作が求められる性質上、DDoS攻撃によってシステムが不安定になったり、取引ができなくなったりすることは、顧客にとって大きな経済的損失につながる可能性があります。
攻撃者は、システムダウンを人質に身代金を要求するケースや、競合他社への業務妨害、マーケットの混乱を意図的に引き起こすことを目的として攻撃を仕掛けます。
2017年には日本の複数のFX会社が実際にDDoS攻撃を受け、一時的にサービスが利用できなくなる事態が発生しました。
これらの攻撃は、顧客の取引機会を奪うだけでなく、FX会社の信用失墜にもつながる深刻な問題です。なお、日本のFX会社へのDDoS攻撃は2017年以降も継続して発生しています。FXに限らず、金融機関へのサイバー攻撃に関する情報には普段から気をつけておきましょう。
3.企業・サービスを標的としたサイバー攻撃も増える
3-1 2024年KADOKAWA・ニコニコ動画へのサイバー攻撃の全貌
2024年、日本の大手出版社であるKADOKAWAとその子会社が運営する動画サービス「ニコニコ動画」は、大規模なサイバー攻撃を受け、日本社会に大きな衝撃を与えました。
この攻撃により、KADOKAWAグループの複数のサービスが長期間にわたって停止し、多くのユーザーや関連企業に深刻な影響が出ました。大手かつ皆が使っているサービス群だっただけに、驚いた方も多かったと思います。
この攻撃の手法は、ランサムウェアを利用したものでした。
ランサムウェアとは、コンピューターのデータを暗号化したり、システムをロックしたりして、その解除と引き換えに身代金を要求するマルウェアの一種です。
攻撃者は、標的型メールや脆弱性を突いた侵入など、複数の手法を組み合わせて攻撃を実行し、KADOKAWAのサーバー内のデータを暗号化して身代金を要求したと見られています。
この事件では、ニコニコ動画のサービスが完全に停止したほか、KADOKAWAのECサイトやイベントのチケット販売システムなど、広範囲にわたるサービスが影響を受けました。
サービス停止期間が長期化したことで、利用者は動画の視聴や商品の購入ができなくなり、KADOKAWAグループの事業にも大きな打撃を与えましたと報じられています。
3-2 ランサムウェアやフィッシングなど多様化する攻撃手法
近年のサイバー攻撃は、その手法が非常に多様化・巧妙化しており、金融機関や企業を狙った攻撃では、複数の手法を組み合わせた複合的なアプローチが主流となっています。
ランサムウェアは、企業にとって最も深刻な脅威の一つとして位置づけられています。
従来の単純にデータを暗号化して身代金を要求する手法から発展し、現在では「二重恐喝」と呼ばれる手法が主流となっています。これは、データを暗号化するだけでなく、事前に重要な情報を盗み出し、身代金の支払いに応じなければその情報を公開すると脅迫する手法です。
フィッシング攻撃も大幅に進化しています。銀行や有名企業、公的機関などを装った偽のメールやSMSの精度が向上し、一見すると本物と区別がつきにくいものが増加しているのが特徴です。
最近では、AI技術を活用してよりパーソナライズされたフィッシングメールが作成される事例も報告されており、従来の画一的な手法よりもはるかに巧妙になっています。
標的型攻撃は、特定の組織や個人をターゲットに、時間をかけて周到に準備された攻撃手法です。
攻撃者は事前にターゲットの詳細な情報を収集し、その組織の脆弱性や従業員の特性を分析した上で、最適化されたマルウェアや手口を用います。そのため、事前に「用意させない」工夫が求められます。
3-3 被害拡大を防ぐための対策
サイバー攻撃の脅威が多様化し、その被害が甚大になる現代において、被害拡大を防ぐための対策は企業の生存に関わる重要な課題となっています。
効果的な対策を実現するためには、技術的な対策と人的な対策の両面からのアプローチが不可欠です。
多層防御
技術的な対策の基本となるのは、多層防御の考え方でしょう。
これは、単一のセキュリティ対策に頼るのではなく、ネットワークの境界、エンドポイント、アプリケーション、データなど、様々な層でセキュリティ対策を講じることです。具体的には、脆弱性診断の定期的な実施、多層的な認証システム(2段階認証、デバイス認証など)の導入、トラフィック監視システムの構築、マルウェア対策ソフトの最新化などが基本的な要素となります。
セキュリティ教育・訓練の実施
人的な対策も同様に重要になってきます。従業員に対するセキュリティ教育の徹底は、フィッシング詐欺やソーシャルエンジニアリングによる被害を防ぐ上で極めて重要です。
定期的なフィッシング訓練の実施、情報共有体制の構築、緊急時の対応マニュアルの整備などが効果的な対策として挙げられます。
3-4 セキュリティ対策におけるエンジニアの役割
このような包括的なセキュリティ対策の中で、エンジニアが果たすべき役割は多岐にわたります。
まず、システムやサービスを開発する段階から、セキュリティを考慮した設計を行う「セキュリティ・バイ・デザイン」の考え方が重要になってくるでしょう。
コードレビューや脆弱性診断を開発プロセスに組み込むことで、リリース前の脆弱性を大幅に減らすことができます。
また、現代のエンジニアには、専門知識を活かして、システムの運用やインシデント発生時の対応だけでなく、セキュリティ教育のコンテンツづくりや啓発活動にも積極的に関わることが求められています。
こうした取り組みを通じて、組織全体のセキュリティ意識を高めることが、エンジニアの重要な役割のひとつとなってきています。
そのためにも、日々多様化する攻撃手法・詐欺手法に関心を持ち、それらの事象から得られる情報をもとに自社組織内に課題がないかを確認していく必要があるでしょう。
まとめ
映画「キャンドルスティック」で描かれる金融システムへのサイバー攻撃は、現実世界でも多発している深刻な脅威です。
バングラデシュ中央銀行事件や日本のネットバンキング被害、KADOKAWA・ニコニコ動画への攻撃など、実際の事件を通じて技術的・人的なセキュリティ対策の重要性が明確になりました。
多様化する攻撃手法に対抗するため、エンジニアには日々の情報収集・自己研鑽を通して、多層防御の設計、継続的な監視、迅速なインシデント対応、そして組織全体のセキュリティ意識向上への貢献が求められていくのではないでしょうか。
