PR

 協力会社社員が仙台銀行のシステムから取引データを不正に持ち出し、約3100 万円を引き出していた事件が、NTTデータを揺さぶっている。容疑者が、NTTデータが仙台銀行から請け負っていたシステム運用の責任者だったためだ。権限を悪用し、犯行に及んだ。

 容疑者は2000 年6月から仙台銀行のシステム運用に携わり、03年5月からは、数人いる運用責任者の一人として従事していた。時期は不明だが、システムのバックアップ・テープから、仙台銀行のATM(現金自動預け払い機)を使った取引のデータを引き出し、408人分のカード番号や暗証番号を入手。そのデータを悪用して昨年10月以降、合計約3100万円を不正に引き出した。29日に神奈川県警に出頭し、容疑を認めている。

 NTTデータは、不正行為が起きないように何重ものチェック体制を敷いていた。まず、(1)バックアップ・テープを使うには運用責任者の承認が必要。(2)そのテープの内容は専用のプログラムでしか閲覧できず、加えて暗証番号はマスキングし表示しない。(3)サーバー室への入退室時には手荷物をチェックし、不正な持ち込み/持ち出しを防ぐ。(4)入室時は指紋認証システムで認証し、誰がどの時間に入出したかを後から調べられるようにする。

 それでもデータを持ち出されたのは、この容疑者がシステム運用の責任者だったからである(図)。(1)のテープ利用の承認は、運用責任者であれば、自分の承認印だけでよかった。(2)の専用プログラムは、容疑者がマスキングをはずして暗証番号を表示できるように改造していた。これは、運用責任者としてテスト環境の業務プログラムを改造する権限を有していたために実行できた。

図 不正持ちだし事件の背景には四つの問題点がある
図 不正持ちだし事件の背景には四つの問題点がある

 表示させたカード番号や暗証番号は、印刷して持ち出したとみられている。ならば(3)の手荷物検査で見つかりそうだが、「USBメモリーなどのメディアはチェックするが、書類の中身まではチェックしきれていなかった」(NTTデータ)。

 極め付きは、(4)の指紋認証システムのログを改ざんされていたこと。容疑者は指紋認証システムの管理者でもあったため、不正を働いた時間帯にサーバー室に侵入した痕跡を消去することなど、簡単だった。

 今回の事件は、権限が集中した人の悪事を防ぐことの難しさを、改めて浮き彫りにした。NTTデータは事件後、運用責任者を増やして日々のチェック体制を強化。バックアップ・テープの利用には運用責任者2人の承認が必要としたほか、他のシステムの運用責任者との間で相互チェックを実施することを決めた。

 しかし、運用と監査の担当者が同じといった権限の持たせ方を見直さなければ、同様な事件を繰り返しかねない。この点についてNTTデータは、「4月中に運用実態を調査したい」とコメントするにとどまっている。