全3179文字
PR
本特集では、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。

NTTデータが運営する「地銀共同センター」で2012年に起きた、キャッシュカード偽造事件の詳細が判明した。逮捕されたSEはNTTデータの業務委託先社員だった。2006年に発生した類似の事件を受け、セキュリティを強化してきたが、内部事情に詳しいSEに不備を突かれた。

 「3度目を起こさないように、万全の再発防止策を取らなければならない。性悪説に立って技術的な抜け穴をふさぐだけでなく、不正を働こうと思わせないように、要員管理や教育の体制を見直していく」。NTTデータの木村千彫パブリック&フィナンシャル事業推進部長はこう強調する。

 2012年11月26日、NTTデータの業務委託先社員が京都府警に逮捕された。NTTデータが運営する勘定系システムの共同利用サービス「地銀共同センター」の取引情報を悪用してキャッシュカードを偽造し、現金を引き出した疑いだ。2013年3月8日現在、「支払用カード電磁的記録不正作出等罪」などで公判中である。

 NTTデータは2006年にも、元社員によるカード偽造事件を経験しており、類似の事件を繰り返した格好だ。なぜ2度目の事件を防げなかったのか。本誌の取材により、詳細な理由が判明した。

半年近く不正を見逃す

 まずは、今回の事件の経緯を振り返ろう。

 逮捕されたのは、2003年から地銀共同センターのシステム開発を担当してきたSEだ。ATMを利用した、地銀共同センター参加行と提携金融機関との間の取引情報を、2012年6月と9月、10月の3回にわたって不正に入手。その情報を使ってカードを偽造し、複数の口座から現金を引き出した。地銀共同センターは日立製作所製のメインフレームを利用している。SEはこのメインフレームに精通し、専門知識を悪用した。

 不正行為をNTTデータが把握したのは11月20日。きっかけは警察当局からの捜査協力要請だった。同社は11月21日に対策本部を発足させ、内部調査を開始。2013年1月17日、最大1068口座の口座番号と暗証番号が、不正に取得された可能性があるとの調査結果を発表した。

 NTTデータにとっての最大の問題は、最初に不正取得が行われてから半年近くの間、その事実を見抜けなかったことだ。

 セキュリティ対策上の盲点は大きく三つあった。

 まずはSEが「システム基本情報」という特殊なデータを狙ったことだ。

限られた人のみ知る秘密

 地銀共同センターでは、暗証番号などの重要情報は、原則として暗号化またはマスク処理した状態で格納している。ところがシステム基本情報は例外だった。システム障害時の調査や復旧作業に必要となるため、暗証番号などをマスク処理せずに保存していたのだ。「マスク処理されていない暗証番号がシステム上に存在することは、開発者の中でも限られた人しか知らなかったはずだ」と木村部長は打ち明ける。

 システム基本情報には、復旧作業などの必要がある場合のみ、専用の「情報取得ツール」を通じてアクセスできる。開発担当者がツールを利用するには、運用責任者の許可が必要だ。その場合、情報取得ツールが暗証番号をマスク処理して出力するため、開発担当者に情報が漏洩することはない。

 ところが今回、SEは専門知識を悪用して不正ツールを自ら作成し、運用責任者の許可を得ずにシステム基本情報へアクセス。マスク処理されていない暗証番号を取得した。この情報を基に、キャッシュカードを偽造したわけだ。

 二つめの盲点は、システム基本情報へのアクセスログを取っていたものの、定期的なモニタリングをしていなかったことである。「開発者が不正な手法でアクセスすることを考えていなかった」(木村部長)からだ。結果、NTTデータは不正に情報が引き出されたことに気付けなかった。

 地銀共同センター内には、試験用のキャッシュカードを作成する機械が設置されている。SEはこれを利用してカードを偽造したが、NTTデータはこの作業も見抜けなかった。「(SEは)自分で持ち込んだカードに、不正入手した情報を書き込んで偽造を行った。こうした利用方法は想定していなかった」(木村部長)。

 最後は、SEが1人になるタイミングが存在したことだ。

 前述のように、NTTデータは2006年にも類似のカード偽造事件を経験している。仙台銀行の勘定系システムの運用責任者だった元社員が不正を働き、カードを偽造して現金を引き出したものだ。

 この事件を受け、NTTデータは受託・運営する金融システムのセキュリティ対策を強化してきた。地銀共同センターにおいても、専用の保安設備を設置したり、運用責任者を2人配置して相互牽制を働かせたりするなどの措置を取った。だが結果としては、監視体制に不十分な点が残っていた。