米通貨監督庁（OCC）で幹部のメールアカウントがハッキング 被害、深刻な情報漏洩の可能性

2025年4月8日、米財務省の下部機関である米通貨監督庁（Office of the Comptroller of the Currency：OCC）は、幹部職員や複数職員のメールアカウントが不正アクセスの被害に遭ったことを正式に発表しました。今回の侵害では、連邦規制下にある金融機関の財務状況など、非常に機密性の高い情報が閲覧された可能性があるとしています。

侵害の発覚と対応状況

OCCによると、本件が最初に判明したのは2025年2月11日。約2週間後に議会へ報告が行われ、当初は「管理用メールアカウントが不正にアクセスされた」とされていました。当時は金融セクターへの直接的な影響は報告されていませんでしたが、今回の発表により、組織内の根深いITセキュリティの構造的欠陥が関係していたことが明らかになっています。

ブルームバーグによると、ハッカーらは上級副監査官、国際銀行監督官、その他の職員のメールボックスに侵入したという。侵入者は2023年5月から2025年初めに発見され追放されるまで、合計でおよそ15万通の電子メールにアクセスしていたしています。

通貨監督庁とは？

OCCは、全米の銀行、連邦貯蓄機関、外国銀行の連邦支店・代理店を監督・規制する金融当局です。そのため、機密情報の漏洩は金融システム全体に波及するリスクもあり、影響の範囲は慎重に見極める必要があります。

セキュリティ体制の見直しを表明

臨時声明でRodney E. Hood暫定通貨監督官は、「長年放置されてきた構造的・組織的な欠陥が本件の背景にある」と述べ、今後の再発防止策としてITセキュリティの包括的な再評価と見直しに着手することを明言しました。

なお、攻撃の手口や侵入経路、加害者に関する具体的な情報は、現時点では開示されていません。米国内外のサイバー攻撃が国家的関心事となる中、今後の調査結果や責任の所在が注目されます。

教訓

今回のOCCのインシデントは、業務用メールの管理体制や旧来システムの脆弱性が、いかに重大な情報流出に直結するかを示しています。特に金融機関や監督機関のように機密性の高い情報を扱う組織では、ゼロトラストや監査ログの強化、多要素認証の義務化といった多層防御による対応が不可欠です。

参照

米通貨監督庁がハッカー被害、職員のメールを１年余り閲覧－関係者