概要
南アフリカの大手金融機関Standard Bankは、2026年2月下旬から始まったサイバー攻撃によって、顧客の氏名・IDナンバー・連絡先・口座番号・クレジットカード情報を含む約1.2TBのデータを窃取された。攻撃者は「ROOTBOY」と名乗り、ダークウェブのフォーラム上でデータの追加公開を防ぐために1ビットコインの身代金を要求したと報じられているが、Standard Bankはその要求の有無や対応について公式コメントを避けている。流出したカード情報にはカード番号と有効期限が含まれる一方、CVVナンバーは流出していないとされる。同銀行の子会社Liberty Groupも関連する別の侵害を受けており、一連の事件は2026年3月23〜24日に公表された。
攻撃の手口と規模
ROOTBOYはStandard Bankのネットワーク内に約3週間にわたって潜伏し、2026年2月末からデータの収集・持ち出しを続けていたとされる。これほど長期間にわたるネットワーク滞留は、侵入検知システムの盲点を突いた高度な攻撃手法を示唆しており、内部のセキュリティ監視の限界が改めて浮き彫りになった。最終的に持ち出されたデータは1.2TBに達し、南アフリカの金融機関が経験した侵害としては過去最大規模とみられている。影響を受けた顧客数については、同行はいまだ開示していない。
Standard Bankの対応と規制当局の動き
Standard Bankは侵害の発覚後、影響を受けたクレジットカードの再発行を順次進めるとともに、該当顧客への直接連絡、取引モニタリングの強化、信用情報機関との連携強化などの対策を講じている。また、専用のサポート窓口を設置し、顧客にはパスワードの更新と生体認証の有効化を促している。規制当局である情報規制機関(Information Regulator)は3月23日に同行からの侵害通知を受理し、正式な審査に向けて追加情報を要請したと発表している。同行は規制当局への通知義務を履行しており、当局との協力体制のもとで調査が進められている。
今後の影響と教訓
本件は、金融機関が持つ膨大な個人・金融データを標的にしたサイバー攻撃の脅威を改めて示す事例となった。攻撃者が3週間もの間ネットワーク内に潜伏し続けられた点は、侵入後の横断的移動(ラテラルムーブメント)を早期に検知する態勢の重要性を強調している。南アフリカの金融セクターはPOPI法(個人情報保護法)のもとで厳格なデータ保護義務を負っており、今後の規制当局による審査結果や罰則の有無が業界全体のセキュリティ投資に影響を与える可能性がある。