【ITニュース解説】Hackers breach fintech firm in attempted $130M bank heist

作成日: 2025年09月03日更新日: 2025年09月05日

ITニュース概要

ハッカーがブラジルのフィンテック企業Sinqiaのシステムに不正侵入した。中央銀行の決済システムを悪用し、1億3000万ドルを盗む大規模な試みだったが、未遂に終わった。

出典: Hackers breach fintech firm in attempted $130M bank heist | BleepingComputer公開日: 2025年09月03日

ITニュース解説

ブラジルの大手フィンテック企業Evertecの子会社であるSinqia S.A.が、ハッカー集団による大規模なサイバー攻撃の標的となった。ハッカーたちは、Sinqia S.A.が利用していたブラジル中央銀行のリアルタイム決済システム「Pix」の環境に不正に侵入し、およそ1億3000万ドル（日本円にして約200億円）もの巨額な資金を盗み取ろうと試みた。しかし、幸いにもこの試みは未遂に終わり、資金の流出は食い止められた。この事件は、現代社会においてITシステム、特に金融システムがいかにサイバー攻撃のリスクに晒されているか、そしてシステムエンジニアがどのような責任を負い、何に注意すべきかを教えてくれる良い事例である。まず、事件の舞台となった「フィンテック企業」と「Pixシステム」について理解しよう。フィンテックとは、「金融（Finance）」と「技術（Technology）」を組み合わせた言葉で、IT技術を駆使してこれまでの金融サービスをより便利にしたり、新しい金融サービスを生み出したりする企業を指す。Sinqia S.A.もそうした企業の一つであり、決済や送金、融資といった金融サービスをITの力で提供している。そして、同社が不正アクセスの足がかりとされたのは、ブラジル中央銀行が開発・運営する「Pix」というリアルタイム決済システムだった。Pixは、スマートフォンなどを使って24時間365日いつでも即座に送金や支払いができるシステムで、その利便性の高さからブラジル国内で急速に普及し、国民の生活に深く浸透している。ハッカーたちは、このPixシステムにSinqia S.A.が接続するために使用していたIT環境に対し、不正な手段でアクセスを試みた。不正アクセスとは、簡単に言えば、正当な権限を持たない者が、パスワードの窃取やシステムの脆弱性の悪用、あるいは巧妙な騙し手口（フィッシングなど）を通じて、コンピューターシステムやネットワークに無断で侵入することだ。今回のケースでは、ハッカーがSinqia S.A.のシステムの一部に侵入することに成功し、そこからPixシステムを通じて巨額の資金を自分たちの管理する口座へと不正に送金しようとしたと考えられている。もしこれが成功していれば、Sinqia S.A.だけでなく、Pixシステムを利用する多くのユーザーや金融機関に大きな混乱と損害を与えていた可能性がある。なぜフィンテック企業がこのような大規模なサイバー攻撃の標的となるのだろうか。その理由は明白で、直接的に「お金」を扱っているからだ。成功すれば莫大な金銭的利益が得られるため、ハッカーにとっては非常に魅力的な標的となる。また、Pixのようなリアルタイム決済システムは、送金処理が瞬時に完了するという特性を持つ。これは利便性の一方で、一度不正な送金が実行されてしまうと、その資金を取り戻すのが極めて困難になるというリスクもはらんでいる。ハッカーは、この「即時性」を悪用しようとしたのだろう。迅速な送金処理の裏側で、セキュリティ対策が少しでも不十分な部分があれば、そこを狙って攻撃を仕掛けてくる。しかし、今回の攻撃は未遂に終わった。Evertecは、ハッカーによる不正アクセスを速やかに検知し、適切な対応を取ることで、資金の流出を阻止することに成功した。具体的な対応としては、不正な活動を停止させ、さらにシステムのセキュリティ対策を強化したとされている。これは、同社が高度なシステム監視体制を構築していたこと、そしてインシデント（セキュリティ事故）発生時の対応計画がきちんと機能していたことを示唆している。素早い検知と迅速な封じ込めが、被害を最小限に食い止める上で極めて重要となる。この事件は、システムエンジニアを目指すあなたにとって、多くの重要な教訓を与えてくれる。まず、システム開発の初期段階から「セキュリティ・バイ・デザイン」の考え方を持つことの重要性だ。これは、システムの機能や性能を考えるだけでなく、設計の段階からセキュリティを最優先事項として考慮し、潜在的な脅威に対する防御策を組み込むことを意味する。例えば、堅牢な認証システム、データの暗号化、アクセス権限の厳密な管理などが挙げられる。次に、システムの「運用」フェーズにおける継続的なセキュリティ対策の必要性だ。システムは一度構築したら終わりではなく、常に最新のサイバー攻撃の手口や脆弱性情報に対応できるよう、継続的に監視し、改善していく必要がある。具体的には、システムのログ（操作履歴）を常に監視し、不審な挙動がないかチェックする「ログ監視」、OSやアプリケーションの脆弱性（セキュリティ上の弱点）を修正する「パッチ適用」、そして定期的に外部の専門家による「セキュリティ診断」や「ペネトレーションテスト（侵入テスト）」を実施し、自社のシステムに隠れた弱点がないかを確認することが欠かせない。特にリアルタイム決済システムのような、社会インフラとしての役割を担うシステムでは、システムの「可用性」（常に利用できること）と「セキュリティ」（安全であること）の両立が非常に難しい。セキュリティを強化しすぎるとシステムのパフォーマンスが低下し、利便性が損なわれる可能性がある。逆に、利便性や高速性を優先しすぎると、セキュリティが手薄になるリスクがある。このバランスを適切に保ちながら、最大限の安全性を確保する設計と運用が、システムエンジニアの腕の見せ所となる。また、万が一不正アクセスやサイバー攻撃が発生してしまった場合の「インシデント対応計画」の策定も極めて重要だ。どのような兆候を検知したら、それがセキュリティ事故であると判断するのか。事故発生後、誰が、どのような手順で、どのような初動対応を行うのか。被害の拡大を防ぐための封じ込め策は何か。原因を特定し、再発防止策を講じるまでのプロセスは。これらすべてを事前に明確な手順として定め、関係者間で共有し、訓練を重ねておく必要がある。今回のEvertecの事例は、まさにこのインシデント対応計画が功を奏したと言えるだろう。現代において、システムエンジニアは単にコードを書いたり、システムを構築したりするだけでなく、ユーザーの資産や企業の情報、そして社会の信頼を守るという重い責任を負っている。セキュリティ対策は、単なる「コスト」ではなく、システムを安全に運用し、ビジネスを継続していくための不可欠な「投資」であるという認識が求められる。今回の事件から学び、常に最新のセキュリティ知識を習得し、リスクに対する意識を高め続けることが、これからのシステムエンジニアにとって最も重要な資質の一つとなる。