2014年2月13日木曜日

浜銀 口座データ不正取得

横浜銀行で、口座データ不正取得があった。
 ATMの点検を依頼した会社の社員にキャッシュカードを偽造された事件
を受け、横浜銀行は、管理体制を見直すとともに被害者に全額補償する
考えを明らかにしました。

横浜銀行
・不正な情報取得ができないようなプログラムを構築。
・業務体制を見直し。
・ケースに応じ、適切に対処したい。基本的に全額補償する方針。

容疑者
・赤星敏一 46才 男性
 横浜銀行のATMの保守作業を請け負った富士通フロンテック元部長
 1985年 富士通入社。
     約30年に渡り、横浜銀行のATMの保守管理業務に従事。
 2006年 フロンテック出向
 2008年 転籍。
・2012年5月~2013年10月。
 残高50万円以上の口座を狙って預金を引き出した疑い。
 キャッシュカード2枚を不正に偽造した疑いで逮捕。
 19金融機関で48人の口座から約2400万円を引き出した容疑。
 「携帯ゲーム代などに使った」と容疑を認める。
 132口座のカード情報が不正に抜き取られた。
・2009年6月
 顧客情報の入手、原因解析、カード情報書き込み機器等の3部門の責任
 者に任命。

NTTデータは、対策を取る前に、窃盗されたとのこと。
数年前に、スキミングが話題になり報道されたが、昔の磁気カードには、
パスワードが保存されているとのことだったが、NTTデータは、未だに
解析用ログから、パスワードを外すと言う選択をしなかったようだ。
富士通で、暗号化しても、内部で復号化する人が出てくれば、カード偽
造団同様のチームになれば、再発する恐れはあると思う。
地銀大手がこのレベルとすると第二地銀はもっとリスクが高いのか。

以前は、暗号システムを公開することで、脆弱性を検証とする頃もあった
が、絶えず攻撃にされされることを考えると技術情報を未開示にした場合
が良いこともある。
性善説によるシステム構成は犯罪が起きやすいと言うことか。

引き出した預金をパチンコやケータイゲーム代に充てたとのこと。
金融機関も定期的に身辺調査が必要か。

カード偽造被害
ネットバンク不正引出 45.7億円


横浜銀行「再発防止プログラムを」偽造カード問題で(14/02/05)


---浜銀カード偽造 元部長、30年近く担当---
2014年2月6日  読売新聞
http://www.yomiuri.co.jp/e-japan/kanagawa/news/20140205-OYT8T01595.htm

 横浜銀行のATM利用者のキャッシュカードが偽造された事件。逮捕されたのは、30年近く同行のATMシステムに携わってきた「再々委託先」の元部長だった。膨大で秘匿性の高い情報を扱う銀行業界では、専門技術を持つ別会社への業務委託は「常識」となっているが、事件は、内部関係者の不正防止の課題を浮かび上がらせた。
 同行などは5日、謝罪に追われた。
 「委託先の元従業員が不正を起こしたことを厳粛に受け止める」。5日の記者会見で、同行の大矢恭好取締役執行役員は陳謝した。
 同行は昨年12月初旬、県警から、ATM保守管理業務の再々委託先である富士通フロンテック元部長、赤星敏一被告(46)(窃盗罪で起訴)を逮捕したと連絡を受けた。急いで県内などに約1500台あるATMの取引履歴を調査したところ、計132口座のカード情報が不正に抜き取られていたことが判明した。
 同行は、ATMに不具合が生じた際の情報集約をNTTデータに委託。そのデータは原因調査のために富士通に送信され、解析はフロンテックが担当していた。
 重層的な業務委託が行われている現状について、大矢執行役員は「管理については検討する必要がある。直接の契約関係にはなくても、重要な委託業務は直接銀行が監査できるようなシステムにしたい」と述べた。
 しかし、大手銀関係者は、「膨大な業務をすべて自前で行うことは不可能。権限を持つ者に悪意があれば、防ぎようがない」と話す。
 フロンテックによると、赤星被告は1985年、富士通入社。2006年にフロンテックに出向し、08年に転籍した。この間、赤星被告は、30年近くにわたって横浜銀行のATMの保守管理業務に従事していた。
 フロンテックではATMに不具合があった場合、通常は、顧客情報の入手、原因解析、カード情報書き込み機器などの機材管理の3部門は、それぞれ別の人間が担当する。このため、機材管理の担当者は、顧客情報にはアクセスできない。
 しかし、横浜銀行の業務に精通していた赤星被告だけは“特別扱い”だった。09年6月から同行における3部門の責任者に任命されていたが、この立場が悪用された形になった。フロンテックの下島文明社長は会見で、「信頼を裏切る行為で、断じて許されない。関係者の皆様に大変申し訳ない」と謝罪した。

◇内部犯行対策間に合わず
 銀行システムの内部関係者によるカード偽造事件は12年にもあった。NTTデータに派遣されていたシステムエンジニアの男が、同社が運営する地銀用データベースに不正にアクセスしてキャッシュカードを偽造、約2000万円を引き出したとして逮捕された。
 これを受け、同社はデータベースへの不正アクセスなど外部からの犯行を防ぐ対策を実施。その後、横浜銀行のATMシステムでも点検を行ったところ、「内部犯行」への危うさが見つかった。それがまさに、今回の事件で使われたとみられる手口だった。
 13年3月から12月にかけ、ATM障害の復旧作業担当者でも、必要以上の重要情報は見られないようにする対策を進めていたが、赤星被告の逮捕容疑は12年5月~13年10月で、対策が完了する前だった。NTTデータの鈴木正範企画部長は「教訓を生かす前にやられてしまった。申し訳ない」と謝罪した。

◇残高50万円以上狙う?
 再逮捕された富士通フロンテックの元部長赤星敏一被告が、残高50万円以上の口座を狙って預金を引き出していた疑いがあることが、県警幹部への取材で分かった。銀行関係者によると、ATMは一度の引き出し限度額が50万円と設定されているものが多く、県警は、上限額を引き出せる口座を選別していた可能性もあるとみて調べる。
 横浜銀行などの内部調査では、赤星被告が、キャッシュカードのデータを抜き取ったとみられるATM利用者の口座は132。このうち偽造カードで預金を盗まれた形跡があるのは48口座で、いずれも被害前に50万円以上の残高があった。
 調べに対し赤星被告は「盗んだ金はパチンコや携帯電話のゲームなど遊ぶ金に使った」と供述しているという。


---被害132口座 全て他行  横浜銀不正引き出し 金融機関揺らぐ信頼---
2014年2月6日
http://www.tokyo-np.co.jp/article/kanagawa/20140206/CK2014020602000129.html

 横浜銀行のATMの保守責任者の立場を悪用し、利用者のカード情報を不正に抜き取り、預金を引き出したとして、富士通フロンテック元社員の赤星敏一容疑者(46)=川崎市多摩区=が県警に逮捕された事件。赤星容疑者は故障したATMから抜き取った取引履歴を入力し、解析し、空の磁気カードにテストデータを入力する一連の作業を全て一人で任され、第三者の目が届かない状態だった。(皆川剛)
 五日会見した横浜銀行によると、不正に暗証番号などが抜き取られた百三十二口座は、全て横浜銀行以外の口座だった。銀行は二十八行、クレジット会社などは十六社あったが、同行は「詳細は公表できない」としている。
 被害者らは、別の金融機関のカードをたまたま横浜銀行で利用したとみられる。他行のATMを利用した現金の取引は一般化しており、他の金融機関にも不正の余地がないか、確かめる必要がある。
 県警はこのうちの四十八口座から、二〇一二年五月~昨年十月に計約二千四百万円が不正に引き出されたことについて、赤星容疑者が関与しているとみて裏付けを進めている。
 赤星容疑者が保守を統括していた勘定系システム「MEJAR(メジャー)」は一〇年一月、横浜銀行と北陸銀行、北海道銀行が共同で運用を開始した。データセンターは横浜市内にあり、赤星容疑者は週のうち半分ほどセンターに通勤していた。
 親会社の富士通などによると、取引履歴の入力、解析、テストはそれぞれ別の機器で行うが、横浜銀行を約三十年担当していた赤星容疑者は、〇九年から全ての管理権限を独占的に与えられていた。各業務に部下がいたが、不正に気付いた社員はいなかった。
 富士通フロンテックの下島文明社長は会見で「障害を早く直す観点で担当させてきたが、権限の独占がないよう、全社的に見直さねばならない」と述べた。
 同社はエンジニアが見る暗証番号などのデータを隠す措置に加え、必ず複数人で業務を担当するよう既に改めたという。
 現金の不正引き出し事件は一二年にもあった。NTTデータが保守を委託したエンジニアの男が、顧客データを抜き出してカードを偽造した疑いで京都府警に逮捕された。相次ぐ事件に、金融機関全体の信頼性が揺らいでいる。
 金融庁は既に、横浜銀行から事実関係の報告を受け、分析を始めた。担当者は「保守業者の適正な管理が銀行の自助努力では何ともならない事態なのか、注意深く確認している」と話している。

◆ATM利用者「とんでもない」
 今回の事件を受け、横浜銀行のATMを利用している横浜市の主婦(72)は「とんでもない話で、どこを信頼していいのかわからなくなる。全ての金融機関に通じる話なので、業界全体で対策をしてほしい」と不安そうに話した。
 横浜市の自営業の男性(62)は「銀行に取引がある人だったら誰でも被害に遭う可能性があるが、一般市民には防ぎようがない。銀行側は出入り業者の管理をしっかりしてほしい」と話した。(小沢慧一)

◆「再発防止策を講じ 同じ手口発生無い」委託先のNTTデータも謝罪
 横浜銀行のATMのシステム開発と保守管理業務は、そもそもNTTデータが委託されている。ATMは富士通製のため、NTTデータは富士通に保守管理業務を委託し、実際の業務は子会社の富士通フロンテックが担っている。
 NTTデータ第二金融事業本部企画部の鈴木正範部長は五日、会見し「被害に遭われた方、多くの金融機関の皆さまにご迷惑とご心配をおかけしましたことを、深くおわび申し上げます」と謝罪した。「既に再発防止策を講じているため、今後同様の手口による被害の発生は無い」と説明した。


---銀行カード偽造 “内部犯行”見抜けず ずさんな危機管理浮き彫り---
2014.2.5 23:06
http://sankei.jp.msn.com/region/news/140205/kng14020523100010-n1.htm

 横浜銀行のATM(現金自動預払機)の保守管理者が他人名義のカード情報を不正に入手して現金を引き出していた事件で、同行と関係各社は5日、相次いで会見を開き謝罪した。再発防止策も発表されたが、“内部犯行”を見抜けず、危機管理体制のずさんさが浮き彫りになった形だ。
 5日に支払用カード電磁的記録不正作出などの容疑で神奈川県警捜査3課などに再逮捕されたのは、同行ATMの保守管理を委託されていた富士通フロンテックの元部長、赤星敏一容疑者(46)=川崎市多摩区。同課は赤星容疑者が同行以外の金融機関の他人名義の48口座から計約2400万円を引き出したとみて調べている。
 NTTデータがリースしている同行のATMシステムは富士通が開発し、富士通子会社の富士通フロンテックが障害発生時の対応を中心とした保守管理を委託されていた。赤星容疑者は昭和60年以降、一貫して同行を担当。平成21年にはリーダー格となって取引履歴の入手や解析などの業務を管理し、カード情報や暗証番号を知りうる立場にあった。
 同社幹部によると、赤星容疑者は「システムエンジニアとしての技量やプロジェクトを統括する力はあった。部下への指示や受け答えも懇切丁寧だった」といい、「長い経験に管理監督の面から頼った。(期間の)長い人間は代えていく形に見直したい」と話した。
 一方、障害が発生したATMの解析では暗証番号やカード番号などは元々不要だったという。担当者がこうした情報を知りうる状態に放置していた点について、同社の下島文明社長は「“内部不正”の観点が結果として弱かった。重要情報を扱う上で欠けていた部分があった」と謝罪した。
 また、同行は赤星容疑者が偽造カードで現金引き出しを始めた直後の24年6月、引き出しに気づいた口座名義人の相談を受けた他の金融機関からの問い合わせを機に県警へ被害届を提出。県警はATMの防犯カメラ映像などから赤星容疑者を割り出し、昨年11月の逮捕に結びつけたが、同行は“内部犯行”を最後まで見抜けなかった。
 再発防止について同行は「重要な委託業務については直接銀行が監査できるようにすることも検討していきたい」と強調。既に関係各社とともに、ATMの障害に対応する担当者が暗証番号を閲覧できないようにしたといい、今後同様の事態は起きないとしている。


---ATM内部データを不正取得、預金引き出し 保守委託先の元社員逮捕---
2014年02月05日 20時14分 更新
http://www.itmedia.co.jp/news/articles/1402/05/news141.html

 横浜銀行のATMの内部情報を取得し、キャッシュカードを偽造して預金を不正に引き出していた疑いがあるとして、保守管理を委託されていた富士通フロンテックの元社員が逮捕されていたことが分かった。

 横浜銀行のATMの内部情報を不正に取得し、キャッシュカードを偽造したとして、神奈川県警は2月5日、支払い用カード電磁的記録不正作出などの疑いで、保守を委託されていた富士通フロンテックの元社員(46)を再逮捕した。男は数千万円を引き出していた疑いがあるとみられ、県警が窃盗事件として調べている。
 富士通フロンテックと、同社に業務委託していたNTTデータは2月5日、それぞれ謝罪した。
 横浜銀行などによると、男はATM保守管理業務上のソフトウェアトラブル解析作業の際、ATMを利用した顧客のカード情報を不正に取得し、キャッシュカードを偽造した。カード情報を不正取得したのはキャッシュカード80口座とクレジットカード52口座で、横浜銀以外の口座だったという。
 男は約50口座から約2400万円を引き出した疑いがあり、県警は昨年男を逮捕。横浜銀は12月に県警から連絡を受け、NTTデータ、富士通、富士通フロンテックと捜査に協力していたという。
 保守管理はNTTデータが横浜銀から委託を受けたもので、NTTデータがATMベンダーの富士通に再委託し、富士通グループの富士通フロンテックが担当していた。被害範囲は特定され、再発防止策を高じているため、今後同様の手口の被害の発生はないとしている。


---横浜銀行「再発防止プログラムを」偽造カード問題で---
2014/02/05 18:30
http://news.tv-asahi.co.jp/news_economy/articles/000020932.html

 ATM=現金自動預け払い機の点検を依頼した会社の社員にキャッシュカードを偽造された事件を受け、横浜銀行は、管理体制を見直すとともに被害者に全額補償する考えを明らかにしました。
 容疑者の逮捕を受けて、横浜銀行は、緊急の記者会見を開き、再発防止に向けて不正な情報取得ができないようなプログラムを構築したことや、業務体制を見直したことなどを明らかにしました。その上で、被害者には「それぞれのケースに応じ、適切に対処したい」と述べ、基本的に全額補償する方針を示しました。この問題を巡っては、横浜銀行のATMの保守作業を請け負った富士通フロンテックの元部長・赤星敏一容疑者(46)が、金融機関のキャッシュカード2枚を不正に偽造した疑いで逮捕されています。これまでに、19の金融機関で48人の口座から約2400万円を引き出したとみられ、取り調べに対し、「携帯ゲーム代などに使った」と容疑を認めています。


---「対策を打つ前にやられた」、NTTデータが横浜銀行データ不正取得事件について釈明---
2014/02/05
清嶋 直樹=日経コンピュータ
http://itpro.nikkeibp.co.jp/article/NEWS/20140205/534910/

  NTTデータは2014年2月5日、横浜銀行の勘定系情報システム(預金や融資などを管理する銀行業の基幹情報システム)を悪用して不正出金を実行した容疑者が逮捕されたことを受けて、横浜市内で記者会見を開いた。
 NTTデータは横浜銀行の勘定系システム「MEJAR」(メジャー)」を開発・運用している。容疑者はNTTデータの業務委託先(孫請け)である富士通フロンテックの社員だった。
 NTTデータは、記者会見で不正出金の経緯を説明した。NTTデータは千数百台ある横浜銀行ATM(富士通製)にそれぞれ蓄積される「解析用ログ」を、NTTデータが運用するサーバーに集約した後、MOディスク(光磁気ディスク)で富士通フロンテックへと渡していた。集約や受け渡しの過程においては解析用ログは暗号化されており、解読は不可能だという
  富士通フロンテックは保守管理業務の一環として、ATMの故障時の調査目的などで解析用ログを復号して利用している。容疑者はこの復号後の口座番号・暗証番号を元に偽造カードを作成、不正出金を繰り返していたという。
 質疑にはNTTデータ第二金融事業本部第一バンキング事業部長の鈴木正範氏と、同事業本部第三バンキング事業部プロジェクト統括部部長の田中正和氏が応じた。一問一答は以下の通り。

繰り返されたカード偽造
 2012年11月にNTTデータが運営する「地銀共同センター」でキャッシュカード偽造事件が起きたばかりだ。再発防止策が徹底していなかったのか。
 「解析用ログ」に悪用のリスクがあることは、地銀共同センターの事件後に再発防止策を洗い出す中で浮上していた。2013年3月頃から千数百台ある横浜銀行ATMの解析用ログから暗証番号を除外するための改修を進め、2013年末までに完了していた。
 対策を打った今では同じ手口による犯行は難しいはずだ。だが、どうやら犯行は改修前から行われていたようだ。

その再発防止策を洗い出す過程で今回の犯行が判明しなかったのはなぜか。
 地銀共同センターの件では、暗証番号に触れる権限がない人が触れたことが犯行につながった。当社としては、その観点から再発防止策を徹底したつもりだった。だが今回は、暗証番号を見る正当な権限がある人が悪意を持って犯行に及んだ。権限がある人の悪意を防ぐのは非常に難しい。

勘定系システムの設計段階で、ATM解析用ログに暗証番号を含める必要は無かったのではないか。
 今思えばそうだったかもしれない。だが、「ATMで正しい暗証番号を入力しているはずなのに出金できない」という利用者からの問い合わせは少なくない。暗証番号を間違えただけなのか、ATMが故障しているのか、何らかのシステム障害が発生しているのかなどを切り分ける必要がある。
 暗証番号のデータが欠ければ、その分トラブルの調査に手間取ることになる。セキュリティを重視するか、スムーズな調査を重視するかはバランスの問題。そこを犯人に突かれてしまった。

委託先から出た逮捕者
再委託を繰り返す契約関係が事件の遠因だったのではないか。
 そうは認識していない。ATMの保守管理という専門性の高い業務を委託するのは必要不可欠だ。

犯人が暗証番号などのデータを元にカードを偽造できたのはなぜか。どこで偽造したのか。
 暗証番号を詐取された後のことは我々は知り得ない。富士通フロンテックはテストカード作成のルートに乗せた可能性について記者会見で言及しているようだ。

預金を不正に引き出された被害者への補償の責任は誰が負うのか。
 まず横浜銀行が対応することになる。当社はその手続きを支援するとともに、警察の捜査に全面協力する。富士通フロンテックに不法行為があった可能性が高いので、最終的な補償の責任は富士通フロンテックが負うことになる。契約書にもそのことを明記している。

やれることはやったが……
NTTデータが反省すべき点はあるか。
 暗証番号という重要情報を解析用ログに含める必要があったのかという反省はある。だが率直に言って、前回の事件を受けて、当社がやれることはやっていたと思う。
 ATMについては、富士通と富士通フロンテックを頼り切っていた。ATMには紙幣・硬貨の判別法や暗号化の手法など、様々な技術ノウハウを注ぎ込んで製造されている。MEJAR(勘定系システム)を開発・運用する当社であっても、富士通と富士通フロンテックから技術情報を全面的に開示してもらうことはできない。

MEJARのシステム全体の中で、NTTデータが技術情報を把握できない部分はATM以外にもあるのか。
 ATMだけが例外だと考えている。銀行窓口で使う端末など、ATM以外の端末類はすべて当社の責任で把握している。

0 コメント: