NTTデータは,同社が運用していた仙台銀行のATM管理システムから,ローンカードのカード番号と暗証番号が不正に持ち出され,計3100万円が引き出されていたことを公表した(ニュース・リリース)。NTTデータ 代表取締役社長の浜口友一氏は「再発防止に向け,全社を挙げて取り組む」として謝罪した。
NTTデータによると,今回カード情報を不正に引き出したのは,システムの運用責任者として関連会社から派遣された50歳代の男性。NTTデータの元社員で,1998年に退職したのち,関連会社に就職したという。現在この男性は,2006年2月22日から行方をくらませている。その約一週間前の2月14日には,宮城県警がNTTデータに対し,同事件の捜査への協力を要請していた。
この男性が持ち出したとみられる情報は,個人向け金融サービス業のオリックス・クレジットが発行したローンカードを,仙台銀行のATMから利用したことのある408人分の取引記録である。この中にはカード番号と暗証番号が含まれる。この男性は,カード番号と暗証番号からカードを偽造し,17名分のカードで計3100万円を不正に引き出したとみられる。このことから,カード偽造技術を持つ人物が関与した,組織的犯罪だった可能性がある。
「運用責任者」の権限を悪用,3つの壁を突破する
同システムの管理者権限を持つ従業員は,この男性を入れてわずかに3人。この男性は,運用責任者としての権限をフル活用することで,以下の3つの壁を巧妙に回避した。
1.セキュリティ・システムの壁
この男性は運用管理者として,システムを運用・開発する部屋に堂々と入退室できる権限を持っていた。このため,指紋認証を含むセキュリティ・システムは意味を成さなかった。さらに男性は,指紋認証システムに記録された入退出記録を改竄するなど,セキュリティ・システムに残された証拠の隠滅を図っていたもようだ。
ただし,監視カメラの映像には容疑者が何らかのデータを印刷する姿が映し出されていたほか,同システムには男性による不正操作がログ情報として残されていた。これが容疑者の特定につながった。
2.データ管理システムの壁
本来,このデータ管理システムでは,運用責任者であっても顧客のローンカードの暗証番号は見られない仕組みとなっていた。
だが,この男性は,運用責任者が日々の業務の中でプログラムを「改良」する権限があることを悪用して,この壁を破った。具体的には,データ閲覧用のプログラムに手を加えて暗証番号を表示可能にし,それをプリントアウトしたもようだ。
3.人的チェックの壁
NTTデータは,システムを設置しているコンピュータ・センターから従業員が入退出する際に身体検査を実施し,USBメモリや磁気媒体を持ち出せないようにしている。
だが,数枚程度の紙やノートなどは,チェックの対象になっていない。男性は,このチェックの穴を利用して,カード番号と暗証番号を印字した紙を持ち出したとみられる。
総じてみると,運用責任者としての権限と知識があれば,原理的にデータの持ち出しが可能だったことが分かる。特に,運用責任者が比較的他の責任者の目を逃れて作業できたことが,今回の不正につながった可能性が高い。セキュリティ・システムは男性の不正の情報は残したが,事後チェックとしての機能しか果たせなかった。
NTTデータは3つの再発防止策を提示
NTTデータは今回の事態を受け,2006年2月27日から新たな再発防止策を実施した。具体的には,以下の3点である。
・運用管理体制の強化と相互牽制の実施
運用責任者の作業結果について,もう1人の運用責任者によるチェックを実施する。
・承認行為の厳格化
顧客情報や機密情報にアクセスする際には,2名の運用責任者の承認を必要とするようルールを変更する。従来は1名の承認で済んでいた。
・各プロジェクト間の相互監査
他のシステムの運用責任者との間で相互に監査を行い,牽制効果を高める。
