PLUS

「対策を打つ前にやられた」、NTTデータが横浜銀行データ不正取得事件について釈明

ニュース

写真1●横浜市内で記者会見に臨むNTTデータ第二金融事業本部第一バンキング事業部長の鈴木正範氏(右)と、同事業本部第三バンキング事業部プロジェクト統括部部長の田中正和氏
写真1●横浜市内で記者会見に臨むNTTデータ第二金融事業本部第一バンキング事業部長の鈴木正範氏(右)と、同事業本部第三バンキング事業部プロジェクト統括部部長の田中正和氏
[画像のクリックで拡大表示]
写真3●横浜銀行からNTTデータ、富士通、富士通フロンテックに至る契約関係の概念図
写真3●横浜銀行からNTTデータ、富士通、富士通フロンテックに至る契約関係の概念図
[画像のクリックで拡大表示]
写真2●ATM内部に蓄積された「解析用ログ」が富士通フロンテックに渡るまでの流れ。暗号化されたデータをMOディスク(光磁気ディスク)で受け渡す
写真2●ATM内部に蓄積された「解析用ログ」が富士通フロンテックに渡るまでの流れ。暗号化されたデータをMOディスク(光磁気ディスク)で受け渡す
[画像のクリックで拡大表示]
写真4●横浜銀行が設置している富士通製ATM
写真4●横浜銀行が設置している富士通製ATM
[画像のクリックで拡大表示]

 NTTデータは2014年2月5日、横浜銀行の勘定系情報システム(預金や融資などを管理する銀行業の基幹情報システム)を悪用して不正出金を実行した容疑者が逮捕されたことを受けて、横浜市内で記者会見を開いた(写真1)。

 NTTデータは横浜銀行の勘定系システム「MEJAR」(メジャー)」を開発・運用している。容疑者はNTTデータの業務委託先(孫請け)である富士通フロンテックの社員だった。

 NTTデータは、記者会見で不正出金の経緯を説明した。NTTデータは千数百台ある横浜銀行ATM(富士通製)にそれぞれ蓄積される「解析用ログ」を、NTTデータが運用するサーバーに集約した後、MOディスク(光磁気ディスク)で富士通フロンテックへと渡していた。集約や受け渡しの過程においては解析用ログは暗号化されており、解読は不可能だという(写真2)。

 富士通フロンテックは保守管理業務の一環として、ATMの故障時の調査目的などで解析用ログを復号して利用している。容疑者はこの復号後の口座番号・暗証番号を元に偽造カードを作成、不正出金を繰り返していたという。

 質疑にはNTTデータ第二金融事業本部第一バンキング事業部長の鈴木正範氏と、同事業本部第三バンキング事業部プロジェクト統括部部長の田中正和氏が応じた。一問一答は以下の通り。

繰り返されたカード偽造

2012年11月にNTTデータが運営する「地銀共同センター」でキャッシュカード偽造事件が起きたばかりだ。再発防止策が徹底していなかったのか。

 「解析用ログ」に悪用のリスクがあることは、地銀共同センターの事件後に再発防止策を洗い出す中で浮上していた。2013年3月頃から千数百台ある横浜銀行ATMの解析用ログから暗証番号を除外するための改修を進め、2013年末までに完了していた。

 対策を打った今では同じ手口による犯行は難しいはずだ。だが、どうやら犯行は改修前から行われていたようだ。

その再発防止策を洗い出す過程で今回の犯行が判明しなかったのはなぜか。

 地銀共同センターの件では、暗証番号に触れる権限がない人が触れたことが犯行につながった。当社としては、その観点から再発防止策を徹底したつもりだった。だが今回は、暗証番号を見る正当な権限がある人が悪意を持って犯行に及んだ。権限がある人の悪意を防ぐのは非常に難しい。

勘定系システムの設計段階で、ATM解析用ログに暗証番号を含める必要は無かったのではないか。

 今思えばそうだったかもしれない。だが、「ATMで正しい暗証番号を入力しているはずなのに出金できない」という利用者からの問い合わせは少なくない。暗証番号を間違えただけなのか、ATMが故障しているのか、何らかのシステム障害が発生しているのかなどを切り分ける必要がある。

 暗証番号のデータが欠ければ、その分トラブルの調査に手間取ることになる。セキュリティを重視するか、スムーズな調査を重視するかはバランスの問題。そこを犯人に突かれてしまった。

 そうは認識していない。ATMの保守管理という専門性の高い業務を委託するのは必要不可欠だ。

犯人が暗証番号などのデータを元にカードを偽造できたのはなぜか。どこで偽造したのか。

 暗証番号を詐取された後のことは我々は知り得ない。富士通フロンテックはテストカード作成のルートに乗せた可能性について記者会見で言及しているようだ。

預金を不正に引き出された被害者への補償の責任は誰が負うのか。

 まず横浜銀行が対応することになる。当社はその手続きを支援するとともに、警察の捜査に全面協力する。富士通フロンテックに不法行為があった可能性が高いので、最終的な補償の責任は富士通フロンテックが負うことになる。契約書にもそのことを明記している。

やれることはやったが……

NTTデータが反省すべき点はあるか。

 暗証番号という重要情報を解析用ログに含める必要があったのかという反省はある。だが率直に言って、前回の事件を受けて、当社がやれることはやっていたと思う。

 ATM(写真4)については、富士通と富士通フロンテックを頼り切っていた。ATMには紙幣・硬貨の判別法や暗号化の手法など、様々な技術ノウハウを注ぎ込んで製造されている。MEJAR(勘定系システム)を開発・運用する当社であっても、富士通と富士通フロンテックから技術情報を全面的に開示してもらうことはできない。

MEJARのシステム全体の中で、NTTデータが技術情報を把握できない部分はATM以外にもあるのか。

 ATMだけが例外だと考えている。銀行窓口で使う端末など、ATM以外の端末類はすべて当社の責任で把握している。

清嶋 直樹=日経コンピュータ

  • PR
Twitter

バックナンバー

  • 2014年9月4日号
  • 2014年8月21日号
  • 2014年8月7日号
  • 2014年7月24日号
  • 2014年7月10日号
  • 2014年6月26日号

バックナンバー一覧

関連書籍

SEよ大志を抱こう

SEのやりがいを改めて認識できるともに、楽しく働きながら大成するための「気付き」が得られます。これからの時代を生きるSEに必要な心構えや物事の考え方を体系的に整理し、53のメッセージとしてまとめています。『日経コンピュータ』の人気連載を基にした、SE一筋40年の著者による待望の初書籍です。

( A5判、276ページ、1,680円 )