国内金融システムを揺るがす前代未聞のサイバー攻撃が発生した――金融機関向けITサービス大手、C&Mソフトウェアのシステムが不正アクセスを受け、中銀管理下の資金最大10億レアル(267億円相当)が不正に流出する事態となった。ブラジル決済システム(SPB)の中核を担う同社への攻撃は、史上最大規模のハッキング事件となり、即時決済システム「PIX」を含む決済システムが一時的に遮断されるなど、金融機関の運営に重大な影響を及ぼしていると2日付フォーリャ紙など(1)(2)が報じた。
被害は複数の金融機関にまたがる総額約10億レアルにおよび、そのうち約5億レアルがC&Mの単一顧客口座から流出。不正に引き出された資金の大部分は、中銀に開設されていた各金融機関の「リザーブ口座」や「即時決済用口座(Conta PI)」に預けられていたもので、銀行間決済やPix送金の流動性確保のために使用される重要な資金だった。
C&Mは、Pixを含む即時決済プラットフォームに関連する情報の交換を担う技術サービスプロバイダーだ。顧客には大手金融機関のブラデスコやXPも含まれているが、同社は2行とも今件による影響を受けていないと説明している。
攻撃は6月30日未明に実行されたとみられ、当局が通報を受けたのは翌7月1日だった。これを受けて連邦警察が2日に捜査を開始し、C&Mの技術基盤への不正アクセスの詳細や、犯行グループの特定を進めている。攻撃対象はC&Mが管理する顧客接続インフラに限定されており、Pixの中核システム本体には侵入の痕跡は確認されていない。
中銀は、C&Mからの攻撃通報を受けた後、同社が運用する決済インフラへのアクセスを停止する措置を即座に実施。Pix本体の稼働には影響がなかったものの、C&M経由で接続していた一部金融機関ではアクセス不能となり、決済業務に支障を来しているという。
本件では、Pixと暗号資産の連携機能を提供するフィンテック企業SmartPayが、初動段階で異常取引の兆候を検知。最高経営責任者のロセロ・ロペス氏によれば、異常な仮想通貨購入動向を6月30日午前0時18分に検出し、即座に一部取引を凍結。被害資金のうち一定額の回収と関係機関への返還が行われたと述べたが、中銀の初期分析では回収されたのは被害総額の約2%にとどまっている。
犯行グループは、C&Mの顧客のユーザー名とパスワードを用いて不正ログインを行ったとされる。同社は中銀およびサンパウロ州警察との協力の下、事件の経緯やシステム上の脆弱性についての調査を進めている。同社の主要システムは現在、不具合なく稼働しているという。
被害を受けた顧客の一つCredSystemは、Pixサービスが一時的に停止されたものの、代替手段としてTED(国内銀行間電子送金システム)によるサービス提供を継続しており、顧客への影響は最小限にとどまっているとしている。
C&Mは声明で「セキュリティ・プロトコルに基づく全措置は適切に実施した」と強調した。C&Mのサービス停止以降、一部金融機関ではPixの利用が不能となったため、回収された資金はTEDなど代替の決済手段を通じて返還が進められている。ただし、現時点での返還は一部にとどまり、全額の回収には至っていない。