受託データの持ち出しで不正キャッシュカード被害が発生 – NTTデータ

2005年10月と2006年2月に偽造ローンカードによる不正キャッシング被害が発生した事件で、NTTデータは、同社が仙台銀行より受託していたATMの取引記録が同社協力会社の社員によって不正に持ち出され、偽造カードに利用されていたことがわかった。

情報を不正取得したとされる同社協力会社の社員は、2000年から同システムの運用に携わり、2003年から2006年まで運用責任者を担当していたという。同社は、協力会社に入る以前、NTTデータの社員だった。

今回不正に持ち出された情報を含むシステムは、仙台銀行よりNTTデータが運用を受託していた。不正に持ち出された情報は、仙台銀行で利用されたオリックス・クレジットのローンカード情報400名分。

取引記録は、システム故障時の復旧や銀行からの問い合わせに対応するため取得しており、本来、暗証番号などは表示されない仕組みだったが、同社員は、プログラムを不正に改造して取得した上、持ち出していたのではないかと見られている。また、サーバルームは、指紋認証による入退室管理が行われていたが、履歴が改ざんされていた。

今回、カード番号と暗証番号が持ち出され、さらにそれら情報を用いてオリックス・クレジットから氏名や利用可能枠、利用可能額といった情報が不正に取得された。今回偽造されたカードにより、17名がキャッシングの被害を受けており、被害額は約3100万円。オリックス・クレジットが、被害を全額補償し、カードの再発行などが行われた。

今回、仙台銀行の預金口座情報などの不正持ち出しについては確認されていない。同社では、システム運用の権限が集中が原因のひとつだったとして、複数の運用責任者を配置するなど、対応を行う。また、定期的な人事異動やアクセス制限を再点検などを実施するとしている。

（Security NEXT - 2006/03/28 ） ツイート

PR

関連記事

マカフィー、エージェントレスで仮想マシンをウイルスから保護 - リソースや負担軽減を実現
アプリ紹介サイトやブログが勧めるAndroidアプリにも注意を - IPAが呼びかけ
「Facebook解約します」と騙すスパム - リンク先のFacebookアプリからマルウェア感染
国内のBYODの割合は33％と海外より低め - 導入求める声は7割超
個人情報約8万件含む記録テープを紛失 - 郵便事業
来院したプロスポーツ選手の情報を病院職員がTwitterへ投稿
データ自動消去に対応した指紋認証USBメモリ「フィンガーファイブ」
JPCERT/CC、マルウェア「DNS Changer」の感染確認サイトを公開 - アクセスだけで簡単チェック
HDE、サーバ向けウイルス対策製品を発売
Android版ブラウザ「iLunascape」に脆弱性 - 最新版にアップデートを