Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

NTTデータ、地銀共同センターのカード情報不正取得の調査結果を公表

NTTデータは、運営する地銀共同センターにおいて、再委託先の従業員がキャッシュカードの取引情報を不正に取得していた問題で、調査結果と再発防止策を取りまとめた。

問題の事件は、「地銀共同センター」から、ATMの一部取引情報が不正に取得され、偽造キャッシュカードによりATMから現金が引き出されたもの。2012年11月26日に容疑者が窃盗容疑で逮捕されている。

同社では問題発覚以降、対策本部を設置して内部調査や再発防止策の検討を進めてきたが、容疑者が支払用カード電磁的記録不正作出の容疑で再逮捕されたことを受け、結果を公表した。

不正取得された情報は、ATMにより地銀共同センターを利用する金融機関と提携金融機関の間でやりとりされた最大1068口座分の口座番号や暗証番号。2012年6月2日、9月10日、10月1日の3回にわたり取得された。同社では、すでに関連する金融機関に対して対応を依頼している。

取引情報に含まれる暗証番号などは、暗号化やマスキングが行われているが、容疑者は、同社再委託先の技術者で、2003年のセンター構築初期からシステム開発を担当しており、通常のシステム開発担当者ではアクセスができない「システム基本情報」の領域にアクセスできたという。

「システム基本情報」は、事故調査や復旧作業に情報を保存しており、許可のもと、専用ツールでアクセスが可能だった。複数人で作業を行うが、担当者の相互監視が不十分なタイミングでアクセスしており、本来マスキングして出力される情報を不正処理により取得していた。

また作業内容と証跡を管理責任者に提出するチェック体勢だったが、結果を隠蔽。モニタリングも不十分で検知できなかった。キャッシュカードは、同センター内の機器で偽造されたという。

同社では、再発防止策として、地銀共同センターにおいて「システム基本情報」への不正アクセスの防止、単独による端末操作の制限、モニタリングの強化などを実施。

また同社グループ会社の運営する類似したシステムを点検し、重要情報へのアクセス管理の強化や不正アクセスの早期検知、教育など再発防止策の策定を3月末までに実施していく。

(Security NEXT - 2013/01/18 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

ビッグデータの不正利用防ぐ法整備、7割弱が「賠償基準明確化」「罰則強化」望む
モバイルアイアン、指定アプリ以外のクラウド接続を防ぐ新機能
会員約1.3万件の不正ログインが判明、個人情報取得が目的か - JR東日本
「埼玉りそな銀」装う「こんにちは!フィッシング」 - 偽「りそな銀」から流用?
フィッシングやマルウェアから狙われる大手動画サービス
顧客が受け取らなかったポイントを従業員が不正取得
昨年末に続き、再び「じぶん銀行」がフィッシングの標的に
EC-CUBE向け「管理画面表示制御プラグイン」に脆弱性
外部アクセスは「閲覧のみ許可」するBox向けソリューション
フィッシングのターゲット、ゆうちょ銀の次はみずほ銀