NTTデータ、再委託社員不正事件で再発防止策--技術面でも検討

田中好伸 (編集部) 2013年01月18日 16時00分

  • このエントリーをはてなブックマークに追加

 NTTデータは1月17日、2012年11月に起きた偽造カードによる現金引き出し事件の経緯と再発防止策などを発表した。容疑者は同社が運営する「地銀共同センター」に勤務する再委託先の技術者であり、1月16日に支払用カード電磁的記録不正作出などの容疑で再逮捕されている。

 容疑者は、地銀共同センターに参加する銀行と提携する金融機関の間の口座番号や暗証番号を含む取引情報を不正に取得して、ATMから現金を引き出していた。取引情報は、2012年の6月2日、9月10日、10月1日の合計3回取得している。取引情報へのアクセスログと操作履歴を確認し、ほかに取得されていないことを確認しているという。不正に取得された情報に含まれる口座数は最大1068となっている。

 容疑者は、NTTデータの再委託先会社に所属する技術者。2003年4月の地銀共同センター構築の初期から銀行間取引業務のシステム開発担当者として勤務していた。同システムに精通していたという。

 地銀共同センターでは、取引情報に含まれる暗証番号などの重要情報は原則として暗号化あるいはマスキング処理でセキュリティを担保した状態で格納されているという。対象となったシステムの基本情報の領域には、システムの故障時などの調査や復旧に必要となる取引情報が存在している。

 この取引情報は通常、開発担当者はアクセスできない。故障の調査や復旧の必要があるときにだけ、開発担当者は許可を得た上で専用の情報取得ツールでアクセスできる。その場合でも、情報取得ツールが暗証番号をマスキングして出力する仕組みとなっている。

 今回の事件で容疑者は、専門知識を利用して不正な処理を実行、マスキングされていない暗証番号を基本情報領域内から取得している。不正に取得した情報の一部を元に、容疑者は同センター内で試験機器でキャッシュカードを偽造したものとみられている。


 開発担当者がシステム基本情報などの重要な領域にアクセスする場合は、必ず複数人で作業をする運用となっていたが、担当者相互の監視が不十分ではないタイミングが存在していた。これが不正に情報を取得したことを直ちに検知できなかった理由として挙げている。

 また作業者は、実施した作業の内容を必ず、証跡とともに運用管理の責任者に提出して、チェックを受ける体制となっていた。だが、容疑者は不正な作業を行った結果を隠していたため、運用管理責任者が検知することができなかった。顧客情報などの重要な情報のアクセスは、モニタリングされていたが、今回のシステムの基本情報では、モニタリングが不十分な点があり、不正取得を速やかに検知することができなかったとも説明している。

 これを受けて地銀共同センターでは、対策を講じている。システム基本情報への不正アクセス防止策として、あらかじめ決められた正規の処理以外は、システム基本情報にアクセスできないようにしている。単独では端末を操作できないようにもすると同時に、システム基本情報へのアクセスログと端末の操作履歴のモニタリングも強化している。

 NTTデータは、事件発覚後の2012年11月27日から情報セキュリティ担当役員(CISO)を委員長とする再発防止委員会を発足。重要情報へのアクセス管理強化、不正アクセスの早期検知、要員の管理と教育――という3つの観点でセキュリティ強化を検討している。この検討結果をもとに、グループの全社で運営している類似のシステムへの点検と再発防止策を3月末までに実施すると説明している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]