NTTデータ、元社員が業務受託銀行からカード情報を盗み3100万円引き出す 142
ストーリー by next
ある意味「究極のセキュリティホール」 部門より
ある意味「究極のセキュリティホール」 部門より
あるAnonymous Coward曰く、"諸事情につきAC曰く、
NTTデータは情報システムの運用業務を請け負っていた仙台銀行のシステムにおいて運用責任者が取引記録を盗み、この情報を元に作られた偽造カードにより17人分計3100万円の現金が不正に引き出されていたと発表した。
今回の事件では不正運用をチェックする立場にある運用の責任者が自ら情報を盗んで悪用したと言うところに特徴がある。
システム運用においても管理者、責任者が悪さを出来ない仕組が求められている。
これに対する再発防止策についてNTTデータの報道発表によれば…
【再発防止策】
1.運用管理体制の強化と相互牽制の実施
2.承認行為の厳格化
3.運用責任者に対するプロジェクト間の相互監査
これでどこまで内部犯の悪意が防げるのか、悩みどころである。
管理者の悪意に対する効果的な対抗策とはどんなものがあるのだろうか?
スラッシュドット諸兄の意見を求む!"
これからは身辺調査も必要? (スコア:4, すばらしい洞察)
この手の犯罪のありがちなパターンとして
やっぱりでかい借金をこしらえてたという可能性が高いんでしょうねえ。
今回のケースのような、金銭がかかわる仕事をする従業員には
身辺調査が必要じゃないでしょうか?
私が担当者だったら、借金で首が回らなくなっているような人に
こういう仕事は任せたくないですね。
サラ金で金を借りた経験のある人、
ギャンブルに毎月十万円以上つぎ込むような人もできたら避けたい。
ほんと追い詰められると人間何をしでかすかわからないですよ。
そういう人の前に、無防備なお金をちらつかせない様にするのも
また思いやりだと思いますね。
#銀行だとそういうことはしてるんでしたっけ?
被害額は3000万、失った信用はPriceless (スコア:2, 興味深い)
自分で情報を抜き取って、自分でカードを偽造したんでしょうか。
で、なければその筋の人に売ったんでしょうか。
犯行が遅くとも10月中には行われており、以降、2/22までは勤務していたようなので完璧に証拠を消したという自負でもあったのでしょうか。
カード会社にとっては3000万円程度は保険で痛くもなんともないし、銀行も被害者面すればさほどの問題ではない。
一番割に合わないのはNTTデータってことになるんでしょうね。
金融庁からはつつかれるし、他の省庁からも色々言われそう。
そして、社内もギスギスしそう。
来期の業績にも影響するんですかね~
#明日以降、株価の動向が気になります(--
Re:これからは身辺調査も必要? (スコア:2, 興味深い)
行方不明になったということよりも銀行の顧客データが流出したんじゃないかということで。
結局そのときはただの自殺だったということで会社は胸をなで下ろしたという非道いオチがつきました。
Re:これからは身辺調査も必要? (スコア:1, 興味深い)
その方が損害賠償請求しやすいとかなんとか。
Re:これからは身辺調査も必要? (スコア:2, おもしろおかしい)
理由は、
1.万が一、借りたアパートやマンションに悪い人(笑)が住んでて、そういうのに狙われたりしたら危険。
2.男の一人暮らしだと、悪い遊び(笑)を覚える→借金こさえる→顧客のカネに手を付ける、から。
だそうです。
至極真面目に語っていました。
#ちなみに、奴の趣味はパチンコ・パチスロです。
手口が発表されている (スコア:4, 参考になる)
残したし隠したし (スコア:3, 興味深い)
読み方さえ覚えてしまえば、容易に顧客情報を再現できる。
しかしこの仕組みは、某の障害が起きたときの解析には役立つ。
某を開発していた頃はいけない部分を****とすることが当然の時代ではなかった。保守者はそれをアクセスできる可能性があるが、モラルを前提に生で記録していた。私自身はやばいなと思っていたが、幸いなことに流出事件は起きなかった。
今そんなことが顧客にばれてしまったら、始末書ではすまないことだろう。
そうな某は少し前の改券に伴って廃棄されたことだと思う。
時効だと思うのでIDにしようかと思ったのだが、型番をぐぐってみたら、サプライにまだ残っているので、やっぱりAC。
そしてまた意味のない妙な縛りが (スコア:3, 興味深い)
社員と下請けに課せられるわけですね。
Ω事件(いわゆる地下鉄サリン事件などではなくNTTデータ内のΩ事件)の時もそうでしたが、各個人がΩ信者でないことを誓約して保証しろだとか、一挙手一投足を全て監視するだとか、トイレ退出にも社員の許可が必要だとか、ここの企業は何につけても「そうじゃないだろ」っていう対策が多すぎです。
外部メディアへの書き込みを厳格に禁止してる割には何が何でも外部メディアへの書き込みをしないと進まない業務があったり、その禁止解除申請をしたら1ヶ月以上申請が放置され、結果として現場では持ち込みPCを黙認する結果になりnyウイルスで某金融機関のホストのパスワード情報をバラまいたりと、理想を追い求めるがあまり現場(現実)が無視され結果として元より悪い結果に繋がるという流れが多いです。
Re:そしてまた意味のない妙な縛りが (スコア:2, 興味深い)
今日付で、顧客情報漏洩の取り扱いに関して厳重な注意を促す周知が流れていたんですが、
こういうことだったのか…
ちなみに、外部記憶媒体使用の制限、私有PCへの業務情報転送の厳禁等はまだわかる
のですが、P2Pソフトウェアの使用・インストールの厳禁という内容がありまして、
その中にさらっと"Skype"が入っている辺りがなんとも…
# しかもVer1.3とか
Re:そしてまた意味のない妙な縛りが (スコア:1, 興味深い)
Re:意味のない妙な縛りなんてないよ (スコア:3, おもしろおかしい)
良い方に考えましょう。 妙な縛りにも色々とメリットはあるものです。
例えば「○○のルールにより、当方では××は出来なくなりました (or 今後は一週間以上かかります etc.)。 ご了承願います」とお客さまのご要望を平然と reject できるようになります (○○と××の実例はご容赦を)。
あるいは上位部門に 「○×の導入により予算の追加が必要になります。 ○×導入のモデルケースですから色をつけてください」 とか 「この規約を遵守するという前提で、このプロジェクトを続行すると稼働が増えて利益率が△になります。 ただでさえデスマなので撤退していいですか (Yes/はい)」 と言ってみるとか、色々夢は膨らみますね。
対策を考えてみる (スコア:3, 興味深い)
ある程度は防げます。が、欲深い人はそれでもやるし、完全ではないです。
また、金銭以外の目的がある場合、待遇がよくても無駄です。
罰を重くするとかモラル教育に力を入れるというありきたりな方法も
ありますが、ありきたりなだけにそんな回答は求められていないですね。
重要なデータにアクセスする際は、複数人による立会いのもとに
業務を行うようにすれば、単独犯による反抗はかなり防げるでしょう。
ただし、全員グルだったらどうしようもない。
そこで「複数人」を固定しないで、毎回人員構成を変えるように
すると、かなり安全性は高まる。
ただし、ここまで考えても、一瞬の隙をついてデータを持ち出されると
おしまい。
結局、例えばライブドアやカネボウなどの経営陣による経理の不正や
粉飾決算を止めるのが、会計事務所まで抱き込んでいるとなかなか
難しいとか、それと同じような話ですので、根本的にはなくしようが
ないですよね。
最終的には人間を重要業務から外して全部AIやロボットにしろという
SFな話にたどりついてしまいます。
Re:対策を考えてみる (スコア:3, おもしろおかしい)
ところがAIやロボットの開発担当者がひそかに仕込んだバックドアが…
(以下繰り返し)
Re:対策を考えてみる (スコア:2, すばらしい洞察)
その銀行に給料を振り込む口座を用意するのもありかな?とか思ったり
んで、しばらくの間給料の振り込みは強制的にその口座にするん
そうすれば、自分の給料を守るために身内に対してもある程度厳しい監視をするだろうし、見て見ぬふりを防ぐことはできそうな予感
今回みたいに意図的な情報漏洩で偽造カード作られて金銭的被害が出たら、被害額をその口座から引き落としておくって手段もとれたりするんかな?
事前に本人の同意くらいは必要になるかもしれんけど
Re:対策を考えてみる (スコア:2, 興味深い)
最後の最後でそういう行為を踏みとどまるための物って
何でしょうか?
それが分かれば、こういう事件が起きる可能性ももう少し下がるのですが・・・
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:対策を考えてみる (スコア:1, すばらしい洞察)
対抗策って言っても、、、 (スコア:3, 参考になる)
どんなにチェック体制を厳しくしたって技術的優位にある人間が悪意を働こうとすることを止めることは困難だし。(後からの監査証跡は別として)
技術的な監査を担当する人間がシステムの監査と称してなにか仕掛けをする(ex. 怪しいプロセスを紛れ込ませる、バイナリにパッチを当てる、細工したコンパイラに入れ替える)のを検出したり予防するのは実際にはかなり困難でしょうし。
理想的には同じようなスキルの人間が複数人いてクロスチェックできる体制が望ましいんですが、そもそもそんな人材がホイホイと調達できるわけでも無し。
やっぱり、ポストと責任に見合うように処遇を厚くするとか、生活状況の把握をきちんとするとかって間接的な手段しか無いんじゃないのかなぁ。
ほかの人も書いていますが銀行なんかだと入行時には人品骨柄のみならず家族・係累まで調査してたようですし、入行してからも生活振りは継続的に調査されますし、必ず連続した休暇も取らされます(いない間に監査部が調査もしますし、不正行為がある場合そもそも休みを取らないケースが多々あるため)。
こういう丹念な調査・監査によって、何らかの犯罪に巻き込まれていた場合や恐喝などを受けている可能性も見逃さない仕組みとなっているようです。
銀行員の場合はポストと責任と処遇とがある程度バランスしていると思えるところもありますが、少なくとも銀行のシステムをいじるSEさんとかは『外注したから安くつく』って発想だけだと潜在的な危険を呼び寄せちゃうのかもしれませんね。
#両親が銀行員だったので銀行には進みやすかったにも関わらず技術者になってしまった親不孝ものだけど ID
経営者が徹底的に忘れている事 (スコア:3, 興味深い)
「現在においては、コンピュータを使った事務処理方法が自社の経営を支えている。」
と言う意識が欠けている。
昔だったら組織の機構上、金銭的な不正に手を染める事が出来る人は経営者の人事による組織構成でカバーできた。つまり、組織を意図的に分断して、中には、仲違いさえさせて組織内の不正を防ぐと言う手立ては有効だったと思う。
しかし、現在においては、効率を優先してしまったために、組織構成を横断する形で様々な情報をやり取りする事を仕事をするという重要な仕事をコンピュータが担うこととなった。だが、それを管理しているのも人間であると言う事自体を忘れている。そのため、経営者はコンピュータが担う仕事をタイプライターと同じレベルでしか考えられない。そのため、コスト意識ばかりが働いてそれを安全に管理しようと言う発想も湧かないのではないだろうか?
本来なら、コンピューターを使った事務処理を前提として経営を考えられるようにならなければ経営者として失格だと思う。
しかし、もう一つ、コスト配分をどうするかと言う問題もある。経営者としてはこのことばかりに注目しているんだろう。まあ、その事例については後日、、、、。
悪意が湧かないほど厚遇する (スコア:2, すばらしい洞察)
と言うのは言い過ぎですけど、効果はありそう。
逆に・・・ (スコア:3, おもしろおかしい)
設計・建築に関わった人間をすべて抹殺した。理由は
城の構造を外部に漏らさないため、ということがホント
にあったらしい。
え?私?銀行のシステムなんてやらないよ。やったとこ
ろでその銀行には絶対に金預けない。自分の関わった
システムに自分の財産託すような真似はしない!
-- gonta --
"May Macintosh be with you"
Re:悪意が湧かないほど厚遇する (スコア:1, すばらしい洞察)
なにをやっても、やる奴はやる。
そういう奴は早い段階で見抜いて重要なポストに置かないのが一番。
Re:悪意が湧かないほど厚遇する (スコア:1, 興味深い)
Re:悪意が湧かないほど厚遇する (スコア:1, 興味深い)
高給も意味が無くなるのだが。(過去事例多し)
#ギャンブルを異性などに置き換えても同じ。
やはりモラルと縛りを如何に高くするかが難問だ。
Re:悪意が湧かないほど厚遇する (スコア:1, 参考になる)
このあたりをもう少し改善すれば不正行為が気付かれやすく、また人間関係による防止策も期待できると思われる。
鶏が先か卵が先か (スコア:2, すばらしい洞察)
金庫の暗証番号を知ってる人間が金庫から盗みを働いた
ようなもの。防ごうとすれば誰も暗証番号を知らない
状態にするしかなくて、すると金庫は永久に開かない。
コンピューターに管理させても、コンピューターが人間の命令を受け付ける以上は必ず突破されるわけですし。
安全の100%は無いですからねぇ。
#むしろいっそこの辺まで既知のリスクとして織り込むか?
#保険かけるとか。
この場合、銀行の責任もあると思う (スコア:3, 興味深い)
重要なシステムであるほど、委託者の側でも、受託者がなにをやってるのかきっちり把握する必要があると思います。
アウトソーシング(委託)って、労働力を確保するだけで、責任までリスク移転するわけではないと思うなぁ。安全にアウトソーシングするには、少なくとも要点を押さえて受託業者を管理できる能力がないと。
Re:鶏が先か卵が先か (スコア:2, すばらしい洞察)
# まぁそれなりでしかないのも事実だが
Re:鶏が先か卵が先か (スコア:1, 興味深い)
その状態にするのは誰?
Re:鶏が先か卵が先か (スコア:1)
避難訓練・防災訓練 (スコア:2, 参考になる)
健康診断は毎年やっても、これらを行わない職場は相当多いようですね。
IT企業なら地震や火災だけでなく、停電・サーバダウン・未知ウイルス蔓延
・サイバーテロなどの非常事態も想定した訓練を行うべきでしょう。
管理者・責任者の指示の元、年齢層の幅広い社員が一斉に集団行動。
社員の気を引き締め、業務の効率アップにもつながると思います。
日々の業務に忙殺される管理者や、肩書きだけで自覚のない責任者も
「当事者意識」を持ってくれることでしょう。
よそで問題が起これば「ウチは無関係」、問題が起こったら?と問うと
「その時はその時」、そして問題が起これば「想定外」。
そんな言い訳が通じる情勢ではなくなってきていると思うのですが…
そういうところは天災時も危険ですが、人災の危険性も高そうです。
匠気だけでは商機なく、正気なだけでは勝機なし。
なぜ外注? (スコア:2, 興味深い)
外部に委託などせず自前で社員確保して運用すればよい、
というのはやっぱり無茶ですか。
Re:なぜ外注? (スコア:5, すばらしい洞察)
Re:なぜ外注? (スコア:2, 参考になる)
曲がりなりにも銀行グループの一端なので色々とあって興銀・富士銀・第一勧銀のような組織的な構造欠陥にみまわれたりするのでは?
見たような聞いたような・・・
itinoe
Re:なぜ外注? (スコア:1)
預金者から廻してもらった金はいったい何処に消えたんだろう?
哀愁漂う (スコア:1)
元中の人としては… (スコア:1, 興味深い)
身内の相互監視、単独行動で魔が差すことを阻止する
目的で複数人がそれもローテーション可能な
担当割り振りということになるんでしょう。
あとは BS7799 [atmarkit.co.jp] の言うとおりに道を踏み外さなければ
いいんちゃう?…BS7799をISO27001って言い直したほうがよければそれでもいいし。
Re:元中の人としては… (スコア:2, 興味深い)
頼っちゃってる部分もあるんですよね。
システム屋さんじゃなくてメーカーの話なんですが。
とんでもないポカミスクレーム出した時、今後の予防策を
「作業担当者を教育しました」としか言ってこなかった場合
数年後に同じクレームが出ます。
対策が教育だけ=何も手を打てませんでした
って言うのが通説かも。
Re:元中の人としては… (スコア:2, 参考になる)
ISMSにも責任分掌という概念があり、権限が一人に集中しすぎないことを求めていますが、「どこまで」なのかは企業に任されています。
なので、「ここまででいい」と企業が判断すれば、審査会社はそれに文句はつけられません。
仕組としてはISMSは悪くないのですけど、日本人の悪い癖で仕組を作ることに熱心になって肝心のリスクを低減させるというところに考えが及ばないことが多いような…
IT業界って (スコア:1, すばらしい洞察)
何か罰則規定はないものなの?
こんなの建設でやったら指名停止ぐらいいきそうだけど。
元とはいえ、社員が、悪意をもって、顧客の金を盗んだわけでしょ?
自社の金を横領ならまだしも。
Re:IT業界って (スコア:1, すばらしい洞察)
まぁ、現実的には無理なのでしょうが。
構図は、耐震偽装事件と似ているように思います。
一人の人がインチキをして、それを見つけだすべき監査体制が
働かず、不正の紛れ込んだシステムができてしまった、と。
NTTデータは少なくとも、本件容疑者のかかわった全ての案件について
精査しなおし報告するのが、顧客に対する礼儀ってもんでしょう。
(NTTデータ自身が監査したところで、
その信頼性には疑問が残りますが)
NTTデータの顧客である金融機関も、
「うちはNTTデータのシステムを使用していますが、
監査の結果、不正はありませんでした」
と、金融機関の顧客にアナウンスすべきだと思います。
Re:IT業界って (スコア:1, すばらしい洞察)
Re:ここまでひどくないものの (スコア:2, 参考になる)
管理者ならいいかって問題じゃなさそうな。
これ [nikkeibp.jp]によると腕前もなかなかだったらしく。
業務プログラム改造して暗証番号一覧作成もやったらしく。
って、プログラムが眺められるなら暗号化のキーも手法もモロバレってか。
だとすると、業務システム本番系から手が届くところにソースコードも保管
してあったってことも問題?
いい教材がありますよ。 (スコア:5, おもしろおかしい)
まったくそのとおり!
最近はいい教材があって、社員教育用にインターネットで企業倫理講習が受けられるんですってね。
たとえばこんなの。
「CSR推進シリーズ ビジネス倫理eラーニング」 [nttdata.co.jp]
……あれ?
特徴
倫理の重要性、リスクが理解できる
Re:ありきたりだけど (スコア:3, おもしろおかしい)
容疑者は、システムの高度な技術と経験を有しており、取引記録を出力するプログラムを不正に改造したうえで印刷し、情報を持ち出したものと想定されます。
が本当だとしたら、ハックしてして~って言う美味しそうな
システムが目の前にいたのも敗因かと。
ハックするのもケガレルようなダサダサのシステムだったら
事件はおきなかったかも。
Re:ありきたりだけど (スコア:2, すばらしい洞察)
実行させたのかもしれない。
現場責任者を狙うのはソーシャルハックの基本だし。
そうなるとペナルティだけでは不十分で、ボディガードも必要。
そのボディーガードが悪の手先でないことの確認は当然必要。
さらに、ボディーガードが脅迫されるのも防ぐために、ボディーガードにボディガードを用意して…
Re:ありきたりだけど (スコア:2, 興味深い)
こういう場合はどうすればいいのやら。
#現実は映画のようにはいかないだろうし
Re:あくだいかん。 (スコア:3, 興味深い)
とっても恐ろしい結末が待ち構えていたわけですよ。
でも、悪代官は越後屋と悪いことをするわけで、とってもつらい罰が抑止力になる、ていうのは
一部効果はあると思うけど、根本的な解決方法じゃない、と思ったりもするなぁ。
カルテルというか、ばれなきゃ利益最大、ていうものが見せる
とっても魅力的な何か、ていうのに目がくらんじゃう、ていうのを打ち破るには
何が一番必要なんだろう。。。
結局、精神論になってきちゃいそうだなぁ。。。。
Re:なぜ自社技術を投入しないのだろう (スコア:3, おもしろおかしい)
#中の人だったのでAC
Re:認定プログラマ (スコア:3, すばらしい洞察)
>
>ってぐらい待遇すれば、少しは減るんじゃないんだろーか。
認定プログラマの流出の心配がないなら,待遇が悪くならないか?
Re:認定プログラマ (スコア:2, 参考になる)
現実にやろうとすると労働三法を自由時間割いてきちんと勉強しなきゃならないのが
ネックかなあと思いました。
# もっとRFCみたいに書いてくれ