ある日、あなたが預金通帳を記帳すると、1週間前に50万円が引き出されていた。全く身に覚えがない。インターネットバンキングは使っていないし、キャッシュカードも届出印鑑もちゃんと手元にある。一体誰が、どうやって…。逮捕された容疑者はハッカーでも銀行員でもなく、ひとりのエンジニアだった。
NTTデータが管理・運営する地銀共同センターは、地方銀行13行が共同利用する勘定系の「クラウド型サービス」だ。このシステムのメンテナンスを受託する会社の58歳の男性従業員Aが、作業中に顧客データを抜き取ってキャッシュカードを偽造。見知らぬ預金者の口座から現金を盗んだのだという。
開発と運用を厳密に分ける原則になっていたが…
ATMの利用履歴から口座番号や暗証番号が盗み出された
家宅捜索により、Aの自宅からは複数の偽造カードが押収されており、この半年間に17もの口座から約2000万円を盗んだ疑いがもたれている。
カードの盗難、フィッシング詐欺、振り込め詐欺、金融機関職員による横領…。預金者はたくさんの危険にさらされているが、どれも自分が気をつければ防ぎようがある。しかし、ATMを利用した際の口座番号や暗証番号が、クラウドから掠め取られたのでは、どうすることもできない。
NTTデータの社長は「共同センターの信用を大きく損なう事態で遺憾」と謝罪したと報道されているが、システムベンダーはもちろん、銀行業界全体の信用の根幹を揺るがしかねない一大事だ。「タンス預金のほうが安心」と思われかねない。
地銀共同センターのような基幹システムでは、情報セキュリティの観点から開発と運用の担当者を厳格に分ける。Aのような開発エンジニアは、顧客データなどを扱ういわゆる「本番環境」には一切タッチさせないのが常識だ。同センターもそのような原則にはなっていた。
しかし、二次下請けの従業員であるAは、当初の開発段階からこの業務に携わり、このシステムに精通していたせいもあってか、システム更新やトラブル対応などの際には、例外的に本番環境を扱うマシンルーム内に入って作業に立ち会っていたそうだ。
