キャッシュカード取引情報の不正取得に関する調査結果および再発防止等について

ニュースリリース/NTTデータ

2013年1月17日

株式会社NTTデータ

当社の運営する地銀共同センターに勤務する再委託先の技術者がキャッシュカードの取引情報を不正に取得した件では、被害に遭われた方ならびに、多くの金融機関の皆さまに、ご迷惑とご心配をおかけしておりますこと、深くお詫び申し上げます。

当社では、2012年11月21日に対策本部を設置し、警察の捜査に全面的に協力するとともに、本件に関わる内部調査を進めてまいりました。また、11月27日には再発防止委員会を発足させ、全社的な再発防止策を検討・実施しているところです。

昨日容疑者が支払用カード電磁的記録不正作出等の容疑で再逮捕され、捜査当局から発表されたことを受け、当社の内部調査の結果および今後の再発防止に向けた取り組みについて、ご報告いたします。

1.容疑者により不正に取得された取引情報について

  1. 1.不正取得された情報

    ATMを利用した、地銀共同センター参加行と提携金融機関の間での口座番号、暗証番号を含む取引情報

  2. 2.不正取得された日

    2012年6月2日、9月10日、10月1日の3回

    なお、取引情報に対するアクセスログ、操作履歴を確認し、上記以外に不正な情報取得が行われた形跡がないことを確認済です。

  3. 3.不正取得された情報に含まれる口座数

    最大1068口座

    関連金融機関に対して、該当口座を保有する預金者の皆さまへの安全対策のお願いをいたしました。

2.容疑者について

容疑者は、NTTデータの再委託先会社に所属する技術者で、地銀共同センター構築の初期(2003年4月)から銀行間取引業務のシステム開発担当者として勤務しており、当該システムに精通していました。

3.取引情報を不正に取得された状況

当センターにおいては、取引情報に含まれる暗証番号等の重要情報は、原則として暗号化またはマスキング処理によるセキュリティー対策を施し格納しています。

一方、「システム基本情報」の領域には、システム故障時等の調査・復旧作業に必要となる取引情報が存在します。

この情報には、通常、システム開発担当者はアクセスできません。故障調査・復旧作業の必要がある場合のみ、開発担当者は許可を得たうえで専用の「情報取得ツール」を介してこの情報にアクセスすることができます。その場合においても、この「情報取得ツール」が暗証番号をマスキングして出力する仕組みとなっています。

今回、容疑者は、高度な専門知識を利用して不正処理を実行し、マスキングされていない暗証番号を「システム基本情報」内から取得しました。

なお、容疑者は、当該情報の一部をもとに、同センター内の試験機器でキャッシュカードを偽造したものと推定しています。

  • マスキングとは、パスワードや暗証番号等、重要な情報を画面や帳票へ文字を表示・印字する際、その内容が読みとれないよう、「*(アスタリスク)」等で、該当する情報の文字・数字を置き換えて表示・印字する処理です。

4.情報の不正取得が検知できなかった原因

容疑者が不正に情報取得したことを、直ちに検知できなかった理由は以下の通りです。

開発担当者が、システム基本情報等の重要な情報にアクセスする場合は、必ず複数人で作業を行う運用としておりましたが、担当者相互の監視が十分ではないタイミングが存在しておりました。

また作業者は、実施した作業内容を必ずその証跡とともに運用管理責任者に提出しチェックを受ける運用となっていましたが、容疑者は不正な作業を行った結果を隠ぺいしたため、運用管理責任者が検知することができませんでした。

加えて、顧客情報など重要な情報へのアクセスについてはモニタリングを実施しておりましたが、今回情報が不正取得された「システム基本情報」においては、モニタリングに不十分な点があり、不正取得を速やかに検知することができませんでした。

5.地銀共同センターにおける再発防止策

地銀共同センターでは、今回の情報が不正に取得されたことおよびそれを検知できなかったことに対し、以下の対策を講じました。

  1. 1.「システム基本情報」への不正アクセス防止

    あらかじめ決められた正規の処理以外(本件で容疑者が作成したような「不正処理」)は、「システム基本情報」にアクセス出来ないよう対処しました。

  2. 2.複数人による作業の徹底

    単独での端末操作が行えないよう対処しました。

  3. 3.不正アクセス検知モニタリングの強化

    「システム基本情報」へのアクセス記録、および端末の操作履歴に関するモニタリングを強化いたしました。

以上に加え、地銀共同センター参加行とも協議のうえ、さらなる再発防止策を検討してまいります。

なお、当社が運営する類似システムに対しても緊急点検を実施し、問題がないことを確認しています。

6.再発防止に向けた全社の取り組み

加えて、当社では、2012年11月27日より、情報セキュリティー担当役員(CISO)を委員長とする再発防止委員会を発足させ、以下の観点でセキュリティーのさらなる強化を検討しております。

この検討結果を基に、NTTデータグループ全社において運営している類似のシステムに対する点検と再発防止策の策定を3月末までに実施します。

  • 重要情報へのアクセス管理の強化
  • 不正アクセスの早期検知
  • 要員管理/教育

これまで当社は、情報セキュリティーの確保およびコンプライアンスの徹底に向けたさまざまな取り組みを行ってまいりましたが、このたびこのような事態に至ったことは、誠に遺憾であり、深く反省しております。

システムの安定運用は、当社に課せられた使命であり、再びこのような事態が起こらないよう、よりセキュリティーの高いシステム構築、システム運用に向けてNTTデータグループ全体として取り組み、お客さまや社会に一層の貢献をしてまいります。

以上

【図】

参考:取引情報の概念

本件に関するお問い合わせ先

株式会社NTTデータ
広報部
TEL:03-5546-8051