NTTデータ、キャッシュカード取引情報の不正取得に関する調査結果を発表
NTTデータ、キャッシュカード取引情報の不正取得に関する調査結果を発表
株式会社NTTデータは、同社が運営する地銀共同センターに勤務する再委託先の技術者がキャッシュカードの取引情報を不正に取得した件ついて、その調査結果を発表した。
同社は2012年11月21日に対策本部を設置し、警察の捜査に協力するとともに内部調査も進めてきた。さらに11月27日には再発防止委員会も発足させて、全社的な再発防止策を検討・実施。そして2013年1月16日に容疑者が支払用カード電磁的記録不正作出等の容疑で再逮捕されたことを受けて今回の発表となった。
発表によると、容疑者によって不正取得された情報は、ATMを利用した、地銀共同センター参加行と提携金融機関の間での口座番号および暗証番号を含む取引情報で、不正取得された日は2012年6月2日、9月10日、10月1日の3回。不正取得された情報に含まれる口座数は最大1068口座。
容疑者はNTTデータの再委託先会社に所属する技術者で、地銀共同センター構築の初期(2003年4月)から銀行間取引業務のシステム開発担当者として勤務し、当該システムに精通していたという。容疑者は高度な専門知識を利用して不正処理を実行し、マスキングされていない暗証番号を「システム基本情報」内から取得。当該情報の一部をもとに同センター内の試験機器でキャッシュカードを偽造したものと同社は推定している。
同社は情報の不正取得が検知できなかった原因として、担当者相互の監視が十分ではないタイミングが存在していたことと、容疑者が不正な作業を行った結果を隠ぺいしたため運用管理責任者が検知できなかったこと、さらにモニタリングに不十分な点があったことなどを挙げた。
これらを踏まえて、地銀共同センターにおける再発防止策として、「システム基本情報」への不正アクセス防止、複数人による作業の徹底、不正アクセス検知モニタリングの強化などを講じた。さらに、同社では2012年11月27日から、情報セキュリティー担当役員(CISO)を委員長とする再発防止委員会を発足させて、重要情報へのアクセス管理の強化、不正アクセスの早期検知、要員管理/教育の観点でセキュリティのさらなる強化を検討しているという。
発表資料