NTTデータは1月17日、同社が運営する「地銀共同センター」で業務委託を受けていた技術者が取引情報を不正に取得し、それを元にキャッシュカードを偽造して現金を引き出した事件に関して、調査結果ならびに再発防止策を報告した。この技術者は1月16日、支払用カード電磁的記録不正作出/供用と窃盗の疑いで再逮捕されたという。
事件は2012年11月に発覚した。容疑者はNTTデータの再委託先企業に所属し、地銀共同センター構築の初期からシステム開発担当者として勤務していたが、2012年6月、9月、10月の3回に渡って、地銀共同センター参加行と提携金融機関の間で発生する取引情報を不正に取得。その情報の一部を元に、システム改修時のテストなどに備えて同センター内に用意してあった試験用ATM機器を用いてキャッシュカードを偽造し、不正に現金を引き出した。NTTデータが一連の不正に気付いたのは、警察から捜査協力要請があった11月20日になってからだった。
NTTデータがアクセスログや操作履歴を検証した結果、不正取得されたデータの中には、最大1068口座分の口座番号、暗証番号などが含まれていた可能性があるという。
同社の説明によると、システムは開発系と本番系とで分けられており、本番環境上に存在する暗証番号をはじめとする取引情報は、暗号化もしくはマスキングによって保護されていた。これら重要な情報へのアクセスはモニタリング対象だ。さらに原則として、容疑者も含め開発を担当している技術者は本番系にはアクセスできず、障害調査や復旧の必要がある場合にのみ、取引情報をマスキングして出力する「情報取得ツール」を介してアクセスする仕組みとするなど、多重のセキュリティ対策を講じていたという。
しかし、これとは別に「システム基本情報」の領域に、障害調査や復旧作業に備えて取得していた取引情報が含まれていた。システム基本情報にアクセスする場合でも、マスキングを行う情報取得ツールを介する仕組みになっていたというが、容疑者は不正処理によって取引情報を入手したと見られる。「システム基本情報を見ても、メインフレームについての深い知識がなければデータ値などは分からない。通常の開発者には難しい」(同社 第二金融事業本部企画部長 池野元就氏)というが、容疑者はそれを解析し、マスキングされていない暗証番号などを手に入れた可能性があるという。
同社は前述の通り、本番システム上の顧客情報などへのアクセスについてはモニタリングを行っていた。しかし、システム基本情報についてはモニタリングの範囲外だったため、不正取得を検知できなかったという。
事件発覚後にアクセスログを調査したところ、容疑者が初めて情報を不正取得したと見られる6月2日の操作ログからは、「どうやら何度か処理を行い、トライ&エラーを経てやっと情報を抜き出していたようだ」(池野氏)という状況が見えたという。
またシステム基本情報へアクセスする際には、開発/運用責任者の承認を経た後、相互に不正を監視するため複数人で作業を行い、作業内容を証跡とともに提出してチェックを受ける運用フローとしていた。だが実際には、プリントアウトした出力結果を取りに行くときなど、担当者が1人きりになるタイミングが生じていた。作業内容のチェックにしても、当たり前だが、作業者が自ら不正行為を報告しなければ確認のしようがない。
NTTデータはこうした経緯を踏まえ、「あらかじめ定められた正規の処理以外、システム基本情報へアクセスできないようにする」「複数人いないと端末をロックする仕組みを導入し、単独での端末操作を行えないようにする」「システム基本情報へのアクセス記録と端末の操作履歴に関するモニタリングを強化する」という再発防止策を講じた。
さらに3月末までをめどに、NTTデータグループ全体でシステム点検を実施するとともに、重要情報に対するアクセス管理の強化、不正アクセスの早期検知といった観点でセキュリティ強化を図る。「NTTデータ社内の有識者を集め、『どういった不正なシナリオが考えられるか』を検討し、それに基づいてガードしていく」(同社 パブリック&フィナンシャルカンパニー事業推進部長 木村千彫氏)。さらに、技術の進歩にともなっていずれ脆弱な個所が生じてくるという視点に立って、再発予防策を講じていきたいとした。
業務委託先に対しては、これまでも、契約条文に盛り込んだ機密情報の扱いを順守するよう求めるほか、年に2回の頻度で情報漏えい防止に関するセルフチェックを行うなど、漏えい抑止に取り組んでいたというが、「それだけでは足りない。再発防止策の中でさらなる強化を図っていく」(池野氏)という。
Copyright© 2013 ITmedia, Inc. All Rights Reserved.