2025年11月22日、ニューヨーク・タイムズは、JPMorgan Chase、Citi、Morgan Stanleyなど大手銀行の顧客データが、テクノロジーベンダーへのハッキングで不正アクセスを受けた可能性があると報じました。
問題となっているのは不動産金融向けベンダーSitusAMCで、同社は11月12日にサイバー攻撃を受け、一部システム内の情報が侵害され、クライアント企業の顧客データも影響を受けた可能性があると自社声明で説明しています。
影響が懸念されるデータには、会計文書や法的契約書などクライアントとの取引に関する企業情報が含まれるとされています。 JPMorgan Chase、Citi、Morgan Stanleyはいずれもコメント要請に即時回答しておらず、FBIは影響範囲を調査中としつつ、銀行サービスのオペレーションへの影響は確認されていないと述べています。
SitusAMCはインシデントは封じ込め済みでサービスは通常稼働しており、暗号化マルウェアは関与していないと説明しています。
From: 
JPMorgan, Citi, Morgan Stanley client data may be exposed by vendor’s hack, NYT reports
【編集部解説】
このニュースは、銀行のコアシステムではなく、その裏側を支える外部ベンダーが破られたことで、金融インフラ全体の“見えにくい弱点”が露呈した事案です。 不動産ローンや証券化のバックエンドを担うSitusAMCというベンダーがサイバー攻撃を受け、JPMorgan Chase、Citi、Morgan Stanleyなど大手銀行の顧客データが巻き込まれた可能性が指摘されています。
現時点で「銀行サービスのオペレーションは正常」とFBIがコメントしている点は重要です。 預金や送金が止まる障害ではなく、バックエンドの情報処理レイヤーで「どこまでデータが盗まれたか」が問題になっている段階と整理できます。 一方で、会計文書や契約書といった企業情報が含まれるとベンダー自身が認めており、なりすましや与信情報の悪用など、静かに長期的なリスクへつながるタイプのインシデントだと言えます。
SitusAMCは不動産ローンや証券化商品に関する高度な業務をクラウド上で代行する「SaaS+BPO型」のプレーヤーであり、銀行は効率性と専門性を求めてこうした外部ベンダーへの依存度を高めてきました。 その結果、サイバー攻撃のフロントラインは銀行のシステム本体ではなく、サプライチェーン上のテックベンダーへと移動しています。 金融DXの裏面として、サードパーティリスクが一気に顕在化した構図です。
今回のケースでは、暗号化マルウェア(ランサムウェア)は使われていないと説明されており、「サービスを止めて身代金を取る」というより「静かにデータを抜いて価値化する」タイプの攻撃である可能性が高いと考えられます。 盗まれたデータがダークウェブで売買されれば、フィッシングやビジネスメール詐欺、ターゲット型攻撃の“燃料”となります。 直接的な被害額が見えにくいぶん、企業側の危機感も投資家の評価も、時間差で表面化してくるタイプのインシデントだと捉えるべきでしょう。
日本の視点では、「自社はSitusAMCを使っていないから関係ない」とは言い切れません。 国内の金融機関も、不動産、ローン、証券化、与信管理などを外部のSaaSやBPOベンダーに委ねるケースが増えており、同様のサプライチェーン攻撃はいつでも起こり得る構造にあります。 特に海外ベンダーとクラウドを組み合わせた業務委託では、データの所在や責任分界があいまいになりやすく、「誰のインシデントとして社会に説明するのか」というガバナンス上の課題も突きつけられています。
テクノロジーのポジティブな側面とリスクは、常に表裏一体です。 高度なデータ処理を担う外部ベンダーのおかげで、銀行はスピーディに新しい金融商品を出し、コストを抑えながらサービスを拡張してきました。 しかしその進化は、「もっとも弱いリンクが全体の耐久性を決める」というサプライチェーンセキュリティの原則を、金融の中枢にまで持ち込んだとも言えます。
長期的には、規制や監督の焦点も「銀行そのもの」から「銀行がつながるテックベンダー」へシフトしていく流れが加速しそうです。 欧米ではすでに、重要なクラウド/ITプロバイダーを「システミックに重要なインフラ」とみなして監督対象に含める議論が進んでおり、今回のような事案はその議論を後押しする材料になります。 読者としては、ニュースを単なる“また情報漏えいか”で終わらせず、「金融とテックが不可分になった世界で、どこに新しいボトルネックとチャンスが生まれているのか」を見抜く視点を持っておくとよいと感じます。
【用語解説】
サプライチェーン攻撃
企業そのものではなく、その企業が利用するベンダーやパートナー企業を狙うサイバー攻撃のことだ。金融機関が使うSaaSやBPOなどが標的になるケースが増えている。
PII(Personally Identifiable Information)
氏名、住所、口座番号など、個人を特定できる情報の総称だ。流出すると、なりすましやフィッシング詐欺などに悪用されるリスクが高い。
ランサムウェア
システムやデータを暗号化して利用不能にし、復号の代わりに身代金を要求するマルウェアの一種だ。今回SitusAMCは暗号化マルウェアは関与していないと説明している。
BPO(Business Process Outsourcing)
企業の業務プロセスの一部を外部の専門企業に委託することだ。金融分野ではローン事務や不動産関連業務などで利用されることが多い。
【参考リンク】
SitusAMC(外部)
不動産金融や証券化市場向けにローン管理やデータ分析などを提供するベンダーだ。
JPMorgan Chase(外部)
米ニューヨーク拠点の大手金融グループで銀行や投資銀行など幅広いサービスを展開している。
Citigroup (Citi)(外部)
グローバルに個人向け銀行や法人金融など多様なサービスを提供する米大手金融グループ。
Morgan Stanley(外部)
投資銀行業務や資産運用、ウェルスマネジメントを主力とする米大手金融機関。
Federal Bureau of Investigation (FBI)(外部)
サイバー犯罪対策などを担う米国司法省の捜査機関で国家レベルの捜査を行う。
【参考記事】
A Swath of Bank Customer Data Was Hacked. The F.B.I. Is Investigating.(外部)
ベンダーSitusAMCへの侵入経路や影響範囲、FBIの捜査状況を詳述しサプライチェーン攻撃としての性格を解説している。
US banks scramble to assess data theft after hackers breach financial tech firm(外部)
フィンテック系ベンダーが金融インフラに組み込まれる構図とデータ窃取型攻撃のリスクを技術寄りの視点で整理している。
Customer data from Wall Street banks breached in SitusAMC vendor attack(外部)
SitusAMCが扱うデータの種類や攻撃シナリオを分析し、暗号化を伴わない情報窃取型サイバー攻撃の特徴を解説している。
Major US Banks Gauge Their Exposure to SitusAMC Breach(外部)
米大手銀行が自社エクスポージャーをどう評価しているかやTPRMの観点から今回の事案を位置づけている。
SitusAMC Breach Exposes Data From 100+ Financial Institutions(外部)
SitusAMC経由で影響を受けた可能性のある金融機関数や業種の広がりを整理し、ベンダー集中リスクを論じている。
Hackers steal sensitive data from major banking industry vendor(外部)
今回の侵害を典型的なサプライチェーン攻撃として位置づけ、攻撃手法や企業が強化すべきコントロールをまとめている。
【編集部後記】
金融機関そのものではなく、その裏側を支えるベンダーが狙われる──今回のニュースは、「お金のインフラ」がどこまで複雑なサプライチェーンに支えられているかを少しだけ可視化してくれた出来事だと感じています。
もしあなたが金融や不動産テックに関わっていたり、SaaSやクラウドサービスを業務で使っているのであれば、「自社のデータはどこまで外に出ているのか」「その先の守りはどう設計されているのか」を、この機会に一度棚卸ししてみてはいかがでしょうか。
