受託データの持ち出しで不正キャッシュカード被害が発生 - NTTデータ

2005年10月と2006年2月に偽造ローンカードによる不正キャッシング被害が発生した事件で、NTTデータは、同社が仙台銀行より受託していたATMの取引記録が同社協力会社の社員によって不正に持ち出され、偽造カードに利用されていたことがわかった。

情報を不正取得したとされる同社協力会社の社員は、2000年から同システムの運用に携わり、2003年から2006年まで運用責任者を担当していたという。同社は、協力会社に入る以前、NTTデータの社員だった。

今回不正に持ち出された情報を含むシステムは、仙台銀行よりNTTデータが運用を受託していた。不正に持ち出された情報は、仙台銀行で利用されたオリックス・クレジットのローンカード情報400名分。

取引記録は、システム故障時の復旧や銀行からの問い合わせに対応するため取得しており、本来、暗証番号などは表示されない仕組みだったが、同社員は、プログラムを不正に改造して取得した上、持ち出していたのではないかと見られている。また、サーバルームは、指紋認証による入退室管理が行われていたが、履歴が改ざんされていた。

今回、カード番号と暗証番号が持ち出され、さらにそれら情報を用いてオリックス・クレジットから氏名や利用可能枠、利用可能額といった情報が不正に取得された。今回偽造されたカードにより、17名がキャッシングの被害を受けており、被害額は約3100万円。オリックス・クレジットが、被害を全額補償し、カードの再発行などが行われた。

今回、仙台銀行の預金口座情報などの不正持ち出しについては確認されていない。同社では、システム運用の権限が集中が原因のひとつだったとして、複数の運用責任者を配置するなど、対応を行う。また、定期的な人事異動やアクセス制限を再点検などを実施するとしている。

（Security NEXT - 2006/03/28 ） ツイート

PR

関連記事

DB管理ツール「pgAdmin4」に複数脆弱性 - 重要度「クリティカル」も
「Apache Causeway」に深刻な脆弱性 - アップデートで修正
病院職員が患者情報含む受付画面をSNS投稿 - 岩見沢市
土地家屋調査士試験の申請書を誤廃棄 - 保存期間の表示漏れで
学会掲載論文の図表に患者の個人情報 - 神奈川県立病院機構
eラーニングシステムで利用者情報が閲覧可能に - 学研Meds
サイトが改ざん被害、海外オンラインカジノへ誘導 - 拓大
介護サービス事業所変更届を第三者にメール誤送信 - 笠間市
ファイル転送サーバ「SolarWinds Serv-U」に脆弱性 - 「クリティカル」も複数
SonicWall製ファイアウォールにDoS脆弱性 - SSL VPN有効時に影響