NTTデータは、同社委託先の技術者がキャッシュカードの取引情報を不正に取得した件について、内部調査の結果と対策を発表した。
事件は、同社が運営する地銀共同センターに勤務する再委託先の技術者が、ATMを利用した、地銀共同センター参加行と提携金融機関の間での口座番号、暗証番号を含む取引情報を不正取得したもの。
同社では、2012年11月21日に対策本部を設置し、警察の捜査に協力するとともに、本件に関わる内部調査を進め、11月27日には再発防止委員会を発足させ、全社的な再発防止策を検討・実施したという。
内部調査によれば、不正取得されたのは、2012年6月2日、9月10日、10月1日の3回で、不正取得された情報に含まれる口座数は最大1,068だという。
地銀共同センターでは、取引情報に含まれる暗証番号等の重要情報は、原則として暗号化またはマスキング注処理によるセキュリティ対策を施しており、「システム基本情報」の領域には、システム故障時等の調査・復旧作業に必要となる取引情報が存在するという。
この情報には、通常、システム開発担当者はアクセスできず、故障調査・復旧作業の必要がある場合のみ、許可を得たうえで専用の「情報取得ツール」を介してアクセスするという。
内部調査によれば、今回容疑者は、高度な専門知識を利用して不正処理を実行し、マスキングされていない暗証番号を「システム基本情報」内から取得したという。
同社では不正取得がすぐに検知できなかった原因として、重要な情報にアクセスする場合は、必ず複数人で作業を行う運用としていたが、担当者相互の監視が十分ではないタイミングがあった点、容疑者が作業内容を運用管理責任者に提出せず、不正な作業を行った結果を隠ぺいした点、今回情報が不正取得された「システム基本情報」においては、モニタリングに不十分な点があり、不正取得を速やかに検知することができなかった点を挙げている。
そして、再発防止策として、正規の処理以外は「システム基本情報」にアクセス出来ないようにしたほか、単独での端末操作が行えないよう対処したという。また、「システム基本情報」へのアクセス記録、および端末の操作履歴に関するモニタリングを強化したという。
加えて、当社では、2012年11月27日より、情報セキュリティ担当役員を委員長とする再発防止委員会を発足させており、今後さらなる強化を検討していくという。