横浜銀行カード偽装事件－内部犯行の脅威

作成日：2014/2/13
更新日：2014/8/27

2014年2月5日、横浜銀行のシステム運用を担当していた富士通フロンテックの社員が、支払用カード電磁的記録不正作出および不正電磁的記録カード所持の疑いで逮捕されたとの報道がありました。

カード情報が不正に取得されたのは横浜銀行以外の132口座（キャッシュカード80 口座、クレジットカード52 口座）であり、ここから偽造カードが作られ、不正に預金が払い出されていました。報道発表時点では48口座で約2400万円の被害が確認されているとのことでした。

横浜銀行はＮＴＴデータにシステム開発と保守管理を発注しており、同社はATM保守管理業務についてはATMベンダーである富士通に再委託していましたが、実際に業務を行っていたのは再々委託先の富士通の関連会社である富士通フロンテックでした。

内部権限者による不正行為

今回の事件の問題は、昨今話題になっているサイバー攻撃のような外部からの不正アクセスによるものでなく、内部の正当な権限者による不正行為だったことです。この場合、ファイヤーウォールや侵入検知システム（IDS）といった防止策はほぼ無効になります。
下図は15年以上前に、とあるクライアントに提示した資料を一部加工したイメージですが、現在でも本質的にはほぼ変わらないと思います。

データの流れから見た対策の検討

不正利用されたデータはATM障害時に使用する「解析用ログ」でした。解析用ログはATM内に書き込まれており、カード情報、暗証番号などが含まれています。障害発生時には横浜銀行のセンターのNTTデータが管理する操作端末から取得後、外部媒体に移し、同じ拠点に詰めている富士通フロンテックに渡して調査を依頼していました。解析用ログは富士通独自のアルゴリズムで暗号化されており、富士通フロンテック内で復号して初めて内容が確認できます。この複合化されたデータをセンター内の機器（テスト用？）を使用して偽造カードを作成したと考えられています。下図はそのイメージです。（報道発表に基づいて作成しているので、事実と異なる可能性もあります）

よって、富士通フロンテックの操作端末にある復号されたデータに対する不適切な利用を防止するための措置を検討する必要があります。システム環境上の制約もあるので、どこまで実現可能は不明確ですが、アイデアベースでは以下が考えられます。

・解析用ログに暗証番号等の重要かつ障害との関連性が低い情報を含まないようにする。
・解析用ログの操作端末をネットワークから切り離し、かつUSB等の外部インターフェースを使えないようにする。当然、カード製造機との接続はできないようにする。
・解析用ログを確認する担当者とテスト担当者（テスト用カード作成が可能）を、システム権限を含め、完全に分離する。
・テスト用カードの管理を厳密にし、作成したカードは必ず破棄する手順とする。
・実運用されているATMで使用できないよう、テスト用カードに何らかの措置を行う。
・復号用の操作端末やカード製造機のログを定期的に確認する。

NTTデータの説明によれば、2013年末までに横浜銀行ATMの解析用ログから暗証番号を除外するための改修を行ったとのことですので、今回の事件では暗証番号は確認可能だったということになります。
富士通フロンテックの説明によると、容疑者は管理者の立場から、「ATM障害発生時の取引履歴入手」「取引履歴の解析」「ソフトウエア保守業務で使用する機器の管理」のすべての権限を有していたため、少なくとも職務分離については不十分だったと考えられます。以前J-SOXに関連するシステム監査業務を数年行っていたのですが、その中で、役職が上がるに比例してシステム権限も追加されていくというケースが多々ありました。本来であれば役職者はむしろシステム権限を絞りこむことで、ノーチェックでのシステム操作が行われないようにすべきです。

多重委託における対策の検討

今回のケースでは、日本のシステム開発や運用にありがちなスタイルである多重委託に由来するという意見があります。ATM関連機器に関する保守を元請の会社とは異なる製造元会社に再委託するのは致し方ないと思います。ただ、この再委託が丸投げになってしまい、契約書に恐らくは記載されているはずの委託業者に対する管理、監督責任が不十分になっていることは考えられます。これがさらに再委託先から再々委託されるような場合は、元請会社から再々委託先に直接関与することはないので、実態がほとんど見えてこないというのが現実だと思います。
これに追加して、昨今の社会環境や労働環境の変化に由来する従業員の会社に対するロイヤリティやモラルの低下も影響しているのではないかと考えます。
個々の委託先内部で内部犯行を防止する対策を検討、実施することはもちろんですが、これを促すために、委託元からある程度プレッシャーをかけていくことも必要なのではないでしょうか。具体的には、契約当初にリスク分析と防止策を検討する、定期的に委託元から監査を行う、または委託先から監査報告書を提出する、くらいのことをしなければいけない時代になっているのかもしれません。

最後に

今回の事件の被害状況を見ると、容疑者は各口座から単純計算でおよそ50万円ずつ引き落としています。もしこれが、不正に現金を引き落とす口座を選別していたとしたら、他行の預金者の残高を確認できる等、報道発表で明らかにされた以上の権限を持っていた可能性があります。ただ、これに関しては発表された資料だけでは不明確なので、参考程度で認識ください。
また、システム運用や保守の業務においては、トラブルに対して迅速に対応することを優先していると考えられるため、有能な担当者が複数の重要な権限を保有する等、内部犯行のリスクが潜在的に高まっている可能性があります。また、今回のケースでは長年同じ業務に従事してきた容疑者が信頼性を構築する一方で、不正行為を行うことを可能にする環境となってしまったと考えられます。内部の権限者による不正行為の可能性をゼロにすることは難しいと思いますが、様々な防止対策や牽制を行うことで、心理的な制御をかけることも可能だと思います。
特に上場会社等では、J-SOXの枠組みの中で様々な対策を実施していますが、J-SOXはあくまでも財務諸表の正確性、信頼性を目的としているため、必ずしもすべての業務を網羅しているものではありません。保有する情報の重要性や業務負荷の状況にもよりますが、財務データに紐づかない重要情報についてもリスク分析を行い、J-SOXで整備した統制活動を横展開することを検討してはいかがでしょうか。

上記に関連した具体的な相談や問い合わせについては、問合せフォームにてご連絡ください。