Discover Performance

 

 


今すぐ登録する

「HP Software Discover Performance」日本語版

委託先元社員によるカード偽造事件

今回は1月-2月のセキュリティ関連で話題になったものとして、横浜銀行の保守管理業務委託先従業員による不正なカード利用について取り上げたいと思います。

2014年2月5日に、横浜銀行から「業務委託先従業員の逮捕について」というお知らせが出ました。これによると、昨年に警察から容疑者を逮捕した旨の連絡があったそうですが、警察当局の要請に基づいて公表を控えていたそうです。
警察は、偽造された可能性があるのは19金融機関の48口座で、いずれも横浜銀行以外の口座となっており、被害額は総額約2400万円にのぼるとみています。

詳しい経緯を見てみましょう。

経緯

事件を時系列にまとめてみます。

  • 2013年10月26日午後4時50分ごろ、容疑者が横浜市内の横浜銀行事務センター開発室で、用意した磁気カード2枚に、別の金融機関2口座のデータをコピーし、偽造カードを作製しました。
  • 2013年11月-12月、容疑者が作成した偽造カードを用い、3口座から計150万円を引き落とした窃盗容疑で逮捕されました。
  • 2014年2月5日、警察からの要請に基づいて公表を控えていた事件を公にしました。

今回の直接の事件は上述のものでしたが、実はこのシステムは以前から問題が指摘されていたことが、システムを取りまとめているNTTデータによる記者会見で判明しています。

原因

まず前提として、NTTデータでは今回と関係なく、2012年11月にNTTデータが運営する「地銀共同センター」でキャッシュカード偽造事件が発生していました。その際には、システム運用者が出力に関わるプログラムを不正改造し、暗証番号を表示するように改変して入手していました。また、コンピューター室への入退室時に記録される指紋認証システムの履歴も改竄されていました。そのため、システムの問題点として

  • プログラミングのスキルがあるシステム運用者に、運用に関する権限が集中しすぎていた。
  • 相互牽制が十分に機能していなかった。

などがあげられ、再発防止策として

  1. 運用責任者を増員し、複数の運用責任者による相互牽制を行う
  2. 顧客情報にアクセスする際は2人の運用責任者の承認が必要なルールに変更
  3. 他システムの運用責任者との相互監査を導入する

といったものが講じられました。

今回問題となったシステムは、2010年に刷新された勘定系システムで使用されている、預金・融資やATM、インターネットバンキングなどで共同利用されているシステム「MEJAR」というものでした。これは、NTTデータにシステム開発が委託されており、富士通製メインフレームが使用されています。保守管理業務は富士通フロンテックに委託されています。

このシステムでは、横浜銀行ATM(富士通製)にそれぞれ蓄積される「解析用ログ」が運用サーバーに集約された後、外部メディアを用いて富士通フロンテックへと渡されていました。集約や受け渡しの過程においては、解析用ログは暗号化されており、解読は不可能でしたが、富士通フロンテックは保守管理業務の一環として、ATMの故障時の調査目的などで解析用ログを復号して利用していました。
今回の容疑者はこの復号後のログから得られる口座番号・暗証番号を元に偽造カードを作成、不正出金を繰り返していたということです。

この「解析用ログ」に暗証番号が含まれている理由は、運用上、暗証番号が間違っているのか、システムに障害があったためなのかを調査するためだったとNTTデータは説明していましたが、この機構自体に問題があったことは前述の2012年11月に発生した偽造カード事件の再発防止策を洗い出している中で認識しており、2013年3月から2013年末までで改修を行っていました。今回の事件は、ちょうどその改修が終わるまでの間に発生してしまったということです。

逮捕された容疑者は、トラブル調査を委託されている富士通フロンテックの責任者だったようです。今回の場合には前回と異なり、ある意味「正当に」改修前の期間中に「解析用ログ」に触れて暗証番号を閲覧できる権限を持った人物が、悪意を持って犯行を行ったということになります。

考察

今回のように、悪意を持った人物が、正当に入手できる情報を悪用して犯行を行うということを未然に防ぐことは困難です。相互牽制や、複数承認によるアクセス権でのフィルタもすり抜けてしまいます。

そのため、今回のような犯行を防ぐためには、

  • システム運用を見直し、暗証番号など悪用される可能性が高いデータに関しては、ログなどに出力させないようにする。

という抜本的な対策を行い、かつ

  • どうしても出力せざるを得ない状況では、その出力データを閲覧したユーザを一定周期で監視しておき、「監視されている」という事をユーザに対しても知らしめるとともに、悪用された場合にすぐにトラッキングできるようにする。
  • 労使契約等の罰則で厳しく制限をかけるとともに、教育を徹底する。

という、ある意味罰則等で押さえつける方策しか無いと思われます。

今回の件を踏まえて、今後NTTデータがどのような対策を出してくるかも注目されます。