NTTデータは1月17日、2012年11月に起きた偽造カードによる現金引き出し事件の経緯と再発防止策などを発表した。容疑者は同社が運営する「地銀共同センター」に勤務する再委託先の技術者であり、1月16日に支払用カード電磁的記録不正作出などの容疑で再逮捕されている。
容疑者は、地銀共同センターに参加する銀行と提携する金融機関の間の口座番号や暗証番号を含む取引情報を不正に取得して、ATMから現金を引き出していた。取引情報は、2012年の6月2日、9月10日、10月1日の合計3回取得している。取引情報へのアクセスログと操作履歴を確認し、ほかに取得されていないことを確認しているという。不正に取得された情報に含まれる口座数は最大1068となっている。
容疑者は、NTTデータの再委託先会社に所属する技術者。2003年4月の地銀共同センター構築の初期から銀行間取引業務のシステム開発担当者として勤務していた。同システムに精通していたという。
地銀共同センターでは、取引情報に含まれる暗証番号などの重要情報は原則として暗号化あるいはマスキング処理でセキュリティを担保した状態で格納されているという。対象となったシステムの基本情報の領域には、システムの故障時などの調査や復旧に必要となる取引情報が存在している。
この取引情報は通常、開発担当者はアクセスできない。故障の調査や復旧の必要があるときにだけ、開発担当者は許可を得た上で専用の情報取得ツールでアクセスできる。その場合でも、情報取得ツールが暗証番号をマスキングして出力する仕組みとなっている。
今回の事件で容疑者は、専門知識を利用して不正な処理を実行、マスキングされていない暗証番号を基本情報領域内から取得している。不正に取得した情報の一部を元に、容疑者は同センター内で試験機器でキャッシュカードを偽造したものとみられている。
開発担当者がシステム基本情報などの重要な領域にアクセスする場合は、必ず複数人で作業をする運用となっていたが、担当者相互の監視が不十分ではないタイミングが存在していた。これが不正に情報を取得したことを直ちに検知できなかった理由として挙げている。
また作業者は、実施した作業の内容を必ず、証跡とともに運用管理の責任者に提出して、チェックを受ける体制となっていた。だが、容疑者は不正な作業を行った結果を隠していたため、運用管理責任者が検知することができなかった。顧客情報などの重要な情報のアクセスは、モニタリングされていたが、今回のシステムの基本情報では、モニタリングが不十分な点があり、不正取得を速やかに検知することができなかったとも説明している。
これを受けて地銀共同センターでは、対策を講じている。システム基本情報への不正アクセス防止策として、あらかじめ決められた正規の処理以外は、システム基本情報にアクセスできないようにしている。単独では端末を操作できないようにもすると同時に、システム基本情報へのアクセスログと端末の操作履歴のモニタリングも強化している。
NTTデータは、事件発覚後の2012年11月27日から情報セキュリティ担当役員(CISO)を委員長とする再発防止委員会を発足。重要情報へのアクセス管理強化、不正アクセスの早期検知、要員の管理と教育――という3つの観点でセキュリティ強化を検討している。この検討結果をもとに、グループの全社で運営している類似のシステムへの点検と再発防止策を3月末までに実施すると説明している。
