2月末に開催された2024年株式市場発展任務の実施に関する会議を締めくくり、 首相は国家証券委員会を主宰し、関係機関と連携して、緊急に全面的に検討し、株式取引システム、ITシステムを徹底的に検査し、リスク管理手順、緊急事態の処理と対応策を積極的に策定し、技術的インシデントを防止し、金融システムのセキュリティと安全性、投資家の利益を確保するよう指示した。

しかし、ベトナムの株式市場では、専門家が深刻だと考える情報セキュリティ事件が起きたばかりだ。3月24日の朝からVNDIRECT証券会社のシステムがハッキングされ、同社の事業活動や多くの株式投資家の取引が不可能になったことが発覚したのだ。

VNDIRECT証券株式会社は、専門家グループによるサイバー攻撃により約4日間にわたりシステム全体がダウンした後、システム、製品、ユーティリティを段階的に再開するための4段階ロードマップの第1段階を完了しました。現在、マイアカウントのアカウント検索システムのみが復旧しています。

W-オンライン株式取引-1-1-1.jpg
証券会社は、データ暗号化攻撃を受けた際に迅速にデータを復旧できるよう、システムや重要データを定期的にバックアップする計画の実施が義務付けられている。(イラスト写真:DV)

VNDIRECT事件を受けて、ネットワーク情報セキュリティの国家管理機関として、情報セキュリティ局は3月27日に証券会社に対し、管理下にある情報システムのセキュリティ強化を要請した。

同機関は、最近一部の証券会社のシステムで発生したサイバーセキュリティインシデントは証券会社に重大な損害を与えたほか、混乱を引き起こし、特にベトナムの証券取引所や金融市場全般の安全性に対する利用者の信頼に多少影響を与えたと述べた。

証券会社の情報システムのセキュリティを確保するため、情報保護部は、これらの企業が現在から4月15日までに、管理下にある情報システムの情報セキュリティ保証のレビュー、検査、評価を完了することに重点を置き、特にオンライン証券取引を提供する顧客アカウント管理システムに関して、システムのリスク、脆弱性、弱点を克服するための対策を直ちに導入することを推奨します。

証券会社は、レベル別に情報システムセキュリティ保証を見直し、整理し、特に統計を整理して管理下の情報システムを分類し、レベル別に情報システムセキュリティ保証に関する規定を実施・完備するための計画を策定する必要があります。

目標は、遅くとも9月までに運用中の情報システムの100%がセキュリティ レベル承認を受けていることを確認することです。遅くとも12月までに、承認されたレベル提案文書に従って情報セキュリティ保証計画を完全に展開します。

4層モデルに従って、情報セキュリティ保証業務の効果的、実質的、定期的かつ継続的な実施を組織し、特に専門的な監視および保護層の能力を向上させ、国家サイバーセキュリティ監視センターとの継続的かつ安定した接続と情報共有を維持します。

証券会社は、管理する情報システムに対するインシデント対応計画を策定するとともに、データ暗号化攻撃が発生した際に迅速に復旧できるよう、システムと重要データを定期的にバックアップする計画を実施する必要があります。

さらに、ベトナムにおけるネットワーク情報セキュリティインシデントへの対応活動の実施状況を見直し、推進するとともに、定期的に脅威ハンティングを実施し、システム侵入の兆候を迅速に検知する必要がある。

情報セキュリティ部門の担当者は、 「重大なセキュリティ上の脆弱性が検出されたシステムについては、脆弱性を修正した後、直ちに過去の侵入の可能性を判断するために脅威を探す必要がある」と指摘した。

証券会社は、情報セキュリティ部門や関係機関・団体からの警告に基づき、重要システムに対する情報セキュリティパッチの適用状況を確認し、更新することが求められています。同時に、システムに存在する情報セキュリティの脆弱性や弱点を迅速に検出するため、定期的な点検、評価、見直しを実施する必要があります。

VNDIRECTが攻撃を受け、証券会社はセキュリティ強化を要請されました。攻撃から2日以上が経過しましたが、VNDIRECTシステムは未だ完全には復旧していません。国家証券委員会は証券会社に対し、技術システムの安全かつ安定した運用を確保するためのいくつかの作業を緊急に実施するよう要請しました。