ローンカードの取引記録の不正取得について
ニュースリリース/NTTデータ
2006年3月28日
株式会社NTTデータ
平成17年10月と平成18年2月に、ローンカードが偽造され不正なキャッシングによる被害が発生したことから、(株)NTTデータに対し宮城県警から捜査への協力要請があり、当社は全面的に捜査に協力して参りました。
捜査の結果、(株)仙台銀行様のATMでカードを利用した際の取引記録の一部が当社のコンピューターセンターから不正に持ち出されていた可能性があることが判明しました。このセンターは(株)仙台銀行様から当社が運用を受託しているもので、容疑者は当社の協力会社から派遣され、当時このセンターで運用責任者としてシステムの運用にあたっていました。
当社が運用するセンターから取引記録が持ち出され、偽造カードによる被害を招いたことは情報システムに対する社会の信頼を揺るがしかねない重大な事態であると考えております。被害に遭われた方をはじめ、オリックス・クレジット(株)様、(株)仙台銀行様、ならびに関係の皆様にご迷惑とご心配をおかけすることになり、深くお詫び申し上げます。今後再発防止に向けて、全社をあげて取り組んで参ります。
詳細を以下にご報告いたします。
【現在までに判明している被害の状況】
なお、オリックス・クレジット(株)様によると、不正引出しが判明したお客様へは既に被害額全額の補償をしており、情報が不正に取得されたことが確認できたお客様へは全て新しいカードへ切り換えを行い、安全性の確保がされているとのことです。
また、現時点で(株)仙台銀行様のお客様の預金口座の暗証番号等が持ち出された形跡はありません。
【事件の経緯】
現在、宮城県警の捜査に協力中です。
【取引記録を不正に持ち出された状況】
容疑者注1は運用責任者の1人としてこのセンターの運用を担当しておりました。容疑者自身が取引記録へのアクセスを含むコンピューターの操作権限を有するとともに、システムの運用に関わる作業指示を行い、不正運用をチェックする立場にありました。また容疑者はシステム面での高度な技術と経験を有していました。
取引記録はシステム故障時の復旧作業ならびに銀行からのお問い合わせ対応等に使用する目的で取得・保存をしているもので、当該記録内容を出力するプログラムでは通常、暗証番号を表示しません。容疑者は、この出力プログラムを不正に改造したうえで暗証番号を含む取引記録を印刷し、情報を持ち出したものと想定しています。また容疑者は運用責任者の立場を悪用し、コンピューター室への入退室時に記録される指紋認証システムの履歴も改竄しておりました。
当社は金融庁の「システムリスク管理体制の確認検査用チェックリスト」ならびに(財)金融情報システムセンターの「金融機関等コンピュータシステムの安全対策基準」に則りセキュリティ対策注2を講じた上で、定期的な内部監査ならびに外部監査を実施して参りました。また運用責任者の上位にプロジェクトマネージャーを配置して牽制を働かせておりましたが、容疑者が1人で作業をする機会もあり、不正な持ち出しを防止することができませんでした。
【再発防止策】
高度な技術と経験を有する関係者にシステム運用に関する権限が集中していたこと、ならびに、相互牽制が十分に機能していなかったことにより、このような事態に至ったものと認識し、平成18年2月27日より、以下の対策を講じております。
【全社的な取組み】
更に平成18年3月6日より、社長を本部長とするセキュリティ強化特別対策本部を設置し、以下の側面を中心に、全社的対策を具体化し展開しております。
注1 容疑者に関する情報
注2 主なセキュリティ対策の取組み
捜査の結果、(株)仙台銀行様のATMでカードを利用した際の取引記録の一部が当社のコンピューターセンターから不正に持ち出されていた可能性があることが判明しました。このセンターは(株)仙台銀行様から当社が運用を受託しているもので、容疑者は当社の協力会社から派遣され、当時このセンターで運用責任者としてシステムの運用にあたっていました。
当社が運用するセンターから取引記録が持ち出され、偽造カードによる被害を招いたことは情報システムに対する社会の信頼を揺るがしかねない重大な事態であると考えております。被害に遭われた方をはじめ、オリックス・クレジット(株)様、(株)仙台銀行様、ならびに関係の皆様にご迷惑とご心配をおかけすることになり、深くお詫び申し上げます。今後再発防止に向けて、全社をあげて取り組んで参ります。
詳細を以下にご報告いたします。
【現在までに判明している被害の状況】
- 不正に持ち出された情報
オリックス・クレジット(株)様のローンカードを(株)仙台銀行様のATMから利用したことのある408名義分の取引記録(カード番号、暗証番号等)
(なお、不正に持ち出された情報をもとに、オリックス・クレジット(株)様のホームページから、氏名、利用可能枠、利用可能額を閲覧) - 偽造カードによるキャッシングの被害
17名、約3100万円
なお、オリックス・クレジット(株)様によると、不正引出しが判明したお客様へは既に被害額全額の補償をしており、情報が不正に取得されたことが確認できたお客様へは全て新しいカードへ切り換えを行い、安全性の確保がされているとのことです。
また、現時点で(株)仙台銀行様のお客様の預金口座の暗証番号等が持ち出された形跡はありません。
【事件の経緯】
| ・ | 2月10日(金) | (株)仙台銀行様より、「オリックス・クレジット(株)様の捜査要請を受けた宮城県警から捜査への協力依頼を受けている」との連絡。 |
| ・ | 2月14日(火) | 宮城県警の要請を受けた(株)仙台銀行様より不正キャッシングに関連し、当該システムの関係社員の勤務状況表等の提供について協力要請。 |
| ・ | 2月17日(金) | 宮城県警から任意での捜査協力要請。社内調査委員会を設置、捜査への全面協力を開始。 |
| ・ | 2月22日(水) | 社内調査の結果、当センターの取引記録を保存した磁気媒体を、正規の手続きを経ないで使用した不正な痕跡が判明。 |
| ・ | 2月28日(火) | 宮城県警に社内調査資料を提出。 |
現在、宮城県警の捜査に協力中です。
【取引記録を不正に持ち出された状況】
容疑者注1は運用責任者の1人としてこのセンターの運用を担当しておりました。容疑者自身が取引記録へのアクセスを含むコンピューターの操作権限を有するとともに、システムの運用に関わる作業指示を行い、不正運用をチェックする立場にありました。また容疑者はシステム面での高度な技術と経験を有していました。
取引記録はシステム故障時の復旧作業ならびに銀行からのお問い合わせ対応等に使用する目的で取得・保存をしているもので、当該記録内容を出力するプログラムでは通常、暗証番号を表示しません。容疑者は、この出力プログラムを不正に改造したうえで暗証番号を含む取引記録を印刷し、情報を持ち出したものと想定しています。また容疑者は運用責任者の立場を悪用し、コンピューター室への入退室時に記録される指紋認証システムの履歴も改竄しておりました。
当社は金融庁の「システムリスク管理体制の確認検査用チェックリスト」ならびに(財)金融情報システムセンターの「金融機関等コンピュータシステムの安全対策基準」に則りセキュリティ対策注2を講じた上で、定期的な内部監査ならびに外部監査を実施して参りました。また運用責任者の上位にプロジェクトマネージャーを配置して牽制を働かせておりましたが、容疑者が1人で作業をする機会もあり、不正な持ち出しを防止することができませんでした。
【再発防止策】
高度な技術と経験を有する関係者にシステム運用に関する権限が集中していたこと、ならびに、相互牽制が十分に機能していなかったことにより、このような事態に至ったものと認識し、平成18年2月27日より、以下の対策を講じております。
- 運用管理体制の強化と相互牽制の実施
従来の運用責任者に加え、新たに当社管理職を増員しました。また、これまでも日々の運用作業について運用責任者の承認を必須としていますが、内部牽制を働かせるため、その運用作業結果について、別の運用責任者による厳格な業務遂行内容の点検を実施しております。 - 承認行為の厳格化
顧客情報・機密情報を含む磁気媒体の管理とアクセスを伴う運用作業については、従来の1名から2名の運用責任者の承認を必要とするルールに変更しました。 - 運用責任者に対するプロジェクト間の相互監査
他システムの運用責任者との相互監査による、より牽制効果の高い監査を新たに導入しました。
【全社的な取組み】
更に平成18年3月6日より、社長を本部長とするセキュリティ強化特別対策本部を設置し、以下の側面を中心に、全社的対策を具体化し展開しております。
- 管理的側面
特定の運用責任者に権限が集中するリスクを回避するため、重要な情報を扱う作業は複数運用責任者の承認が必須となるよう権限を分割します。 - 人的側面
システム運用に同一人物が同一ポストに長期間配置され、権限・ノウハウが集中することを避けるため、定期的な要員流動施策を実施します。 - 技術的側面
重要情報のアクセスを制限する仕組みを再点検し、それぞれのシステム毎にお客様とも相談の上、必要な追加措置を講じてまいります。
注1 容疑者に関する情報
| 容疑者は平成12年1月から当社協力会社から派遣されて、平成12年6月から当該システムの運用業務に従事し、平成15年5月から平成18年2月までは運用責任者でした。 なお、容疑者は当社の元社員(平成10年3月退職)であります。 |
注2 主なセキュリティ対策の取組み
- 情報セキュリティに関する各種ルール策定
- 情報セキュリティに関する各種教育施策の実施
- 暗号化等情報漏えい防止に関するシステム的対処
- 各種設備増強による牽制強化
- システム収容ビルにおける入退館管理装置(フラッパーゲート)設置
- システム運用ゾーンへの入退室管理装置(指紋認証装置)設置
- システム運用ゾーンにおける監視カメラ設置
- 商用システムにおける不正プログラム走行監視ソフト導入
- 各種システム資源アクセス記録の保持
- 各種運用による牽制強化
- ビル入退館時の手荷物検査の実施
- USBポート等封印
- USBメモリ等の可搬媒体の使用禁止
- 牽制の働く運用体制の構築
- 各ポジションに複数人配置することにより相互牽制の働く体制を構築
- 各種会議体による牽制
- 保全会議等における運用状況報告義務