Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

NTTデータ、地銀共同センターのカード情報不正取得の調査結果を公表

NTTデータは、運営する地銀共同センターにおいて、再委託先の従業員がキャッシュカードの取引情報を不正に取得していた問題で、調査結果と再発防止策を取りまとめた。

問題の事件は、「地銀共同センター」から、ATMの一部取引情報が不正に取得され、偽造キャッシュカードによりATMから現金が引き出されたもの。2012年11月26日に容疑者が窃盗容疑で逮捕されている。

同社では問題発覚以降、対策本部を設置して内部調査や再発防止策の検討を進めてきたが、容疑者が支払用カード電磁的記録不正作出の容疑で再逮捕されたことを受け、結果を公表した。

不正取得された情報は、ATMにより地銀共同センターを利用する金融機関と提携金融機関の間でやりとりされた最大1068口座分の口座番号や暗証番号。2012年6月2日、9月10日、10月1日の3回にわたり取得された。同社では、すでに関連する金融機関に対して対応を依頼している。

取引情報に含まれる暗証番号などは、暗号化やマスキングが行われているが、容疑者は、同社再委託先の技術者で、2003年のセンター構築初期からシステム開発を担当しており、通常のシステム開発担当者ではアクセスができない「システム基本情報」の領域にアクセスできたという。

「システム基本情報」は、事故調査や復旧作業に情報を保存しており、許可のもと、専用ツールでアクセスが可能だった。複数人で作業を行うが、担当者の相互監視が不十分なタイミングでアクセスしており、本来マスキングして出力される情報を不正処理により取得していた。

また作業内容と証跡を管理責任者に提出するチェック体勢だったが、結果を隠蔽。モニタリングも不十分で検知できなかった。キャッシュカードは、同センター内の機器で偽造されたという。

同社では、再発防止策として、地銀共同センターにおいて「システム基本情報」への不正アクセスの防止、単独による端末操作の制限、モニタリングの強化などを実施。

また同社グループ会社の運営する類似したシステムを点検し、重要情報へのアクセス管理の強化や不正アクセスの早期検知、教育など再発防止策の策定を3月末までに実施していく。

(Security NEXT - 2013/01/18 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Pマーク事業者の個人情報関連事故報告、前年度の約2.3倍に
Pマーク事業者の事故報告は3048件 - 前年度比約15%増
2020年度のPマーク事業者による個人情報関連事故は2644件
複数職員が住基システムでコロナ患者情報を業務外閲覧 - 横手市
訪問代理店が顧客情報を不正取得 - ソフトバンク
東京女子大ウェブショップで個人情報流出の可能性
北海道銀行を装うフィッシング - 他攻撃の文面を使い回しか
暗号資産取引所でドメインレジストラの登録内容が改ざん被害
三菱東京UFJ銀装うフィッシング攻撃が断続的に発生中 - 「個人情報漏洩事件が起こった」と不安煽る
Pマーク事業者の個人情報事故は2323件 - 「目的外利用」の報告が増加