ブラジルで、国内金融システムの中核を担うITサービス企業が前例のないサイバー攻撃を受け、最大10億レアル(約267億円)もの巨額資金が不正に流出する事件が発生しました。この攻撃は、即時決済システム「PIX」を含む決済システムに一時的な混乱をもたらし、複数の金融機関の業務に重大な影響を与えています。2日付のフォーリャ紙などが詳細を報じています。
ブラジル金融システムを襲った大規模攻撃
被害総額は複数の金融機関にまたがり約10億レアルに上るとされ、そのうち約5億レアルがC&Mソフトウェアという単一顧客の口座から流出しました。不正に引き出された資金の大半は、ブラジル中央銀行に開設された各金融機関の「リザーブ口座」や「即時決済用口座(Conta PI)」に預けられていたものです。これらは銀行間の決済やPIX送金の流動性を確保するために不可欠な資金であり、その流出は金融システムにとって極めて深刻な事態です。
ブラジルの即時決済システム「PIX」を示すスマートフォン画像、一部金融機関で利用停止影響
PIX関連インフラへの不正アクセス
攻撃は金融機関向けITサービス大手であるC&Mソフトウェアのシステムに対して行われました。同社はPIXを含む即時決済プラットフォームに関連する情報交換を担う技術サービスプロバイダーです。顧客にはブラデスコやXPといった大手金融機関も含まれますが、これらの銀行は今回の事件による影響を受けていないと説明しています。
標的とされたC&Mソフトウェア
攻撃は6月30日未明に実行されたとみられており、当局への通報は翌7月1日でした。連邦警察は2日に捜査を開始し、C&Mの技術基盤への不正アクセスの詳細や犯行グループの特定を進めています。攻撃はC&Mが管理する顧客接続インフラに限定されており、PIXの中核システム本体への侵入痕跡は確認されていません。
中央銀行と連邦警察の対応
ブラジル中央銀行は、C&Mからの攻撃通報を受け、同社が運用する決済インフラへのアクセスを即座に停止する措置を取りました。この措置により、PIX本体の稼働に影響はなかったものの、C&M経由でシステムに接続していた一部の金融機関ではPIXが利用できなくなり、決済業務に支障が生じています。
被害拡大の阻止と資金回収の難航
今回の事件では、PIXと暗号資産の連携機能を提供するフィンテック企業SmartPayが、初期段階で異常な取引の兆候を検知しました。最高経営責任者によると、6月30日午前0時18分に異常な仮想通貨購入動向を検出し、一部取引を即座に凍結しました。これにより、被害資金のうち一定額の回収と関係機関への返還が行われたとされています。しかし、中央銀行の初期分析では、回収されたのは被害総額の約2%にとどまっています。
犯行グループは、C&Mの顧客のユーザー名とパスワードを不正に利用してログインしたとみられています。C&Mはブラジル中央銀行およびサンパウロ州警察と協力し、事件の経緯やシステム上の脆弱性についての調査を進めており、同社の主要システムは現在正常に稼働していると発表しています。C&Mは声明で、「セキュリティ・プロトコルに基づく全措置は適切に実施した」と強調しています。
金融機関の業務への影響
被害を受けた顧客の一つであるCredSystemは、PIXサービスが一時的に停止したものの、代替手段としてTED(国内銀行間電子送金システム)によるサービス提供を継続することで、顧客への影響を最小限に抑えているとしています。C&Mのサービス停止以降、一部金融機関でPIXの利用が不能になったため、回収された資金はTEDなどの代替決済手段を通じて返還が進められています。ただし、現時点での返還は一部にとどまっており、全額の回収には至っていません。
結論
今回の事件は、ブラジルの即時決済システムを支えるインフラの脆弱性を露呈し、金融システム全体の安全性に対する懸念を高めるものです。当局による捜査と、流出した資金の全額回収に向けた取り組みが続けられており、今後の動向が注目されます。
出典:フォーリャ紙 他
