横浜銀行委託先社員がカードを偽造、数千万円を不正に引き出す事件が発覚 26
ストーリー by hylom
内部からのアタック 部門より
内部からのアタック 部門より
あるAnonymous Coward 曰く、
横浜銀行のシステム委託先社員が、顧客情報を不正に取得してカードを偽造していたことが発覚した。これを利用し、他行の預金者の現金数千万円を引き出す被害も出ているという(日経新聞、横浜銀行の発表PDF)。
横浜銀行の発表によると、不正を行ったのは横浜銀行のATMの保守管理業務を行っていた富士通フロンテックの元従業員。ATM保守管理業務として行った解析作業時にカード情報を不正に入手し、カードを偽造したという。不正に取得した口座はキャッシュカード80口座、クレジットカード52口座で、すべて横浜銀行以外の口座だという。
なお、保守管理業務を委託、となっているが、横浜銀行はNTTデータにATMシステムの開発・運用を委託しており、NTTデータは保守管理業務を富士通に再委託、さらに富士通はそのグループ会社である富士通フロンテックに業務を行わせているという多重請負構造になっていた模様。
特許 (スコア:3, 興味深い)
これ本人ですかね。
「オンライン取引システム、中央処理装置および現金自動預払機」特許公開2006-330934
Re: (スコア:0)
日経IT pro [slashdot.jp]によると本人っぽいですね。
Re:特許 (スコア:5, 参考になる)
リンクの記述がおかしいですよ。
ニュース - [続報]横浜銀行データ不正取得事件の容疑者、過去にATM関連の特許出願も:ITpro [nikkeibp.co.jp]
強調は私。
Re: (スコア:0)
セキュリティについての認識があれば、こんなことをしたらすぐに足がつくこと分かるんじゃないのかね?
この部長の構築担当したシステムのセキュリティを今一度洗いなおすべき。
あまりに抜けすぎてる。きっとセキュリティ対策が不十分なシステムばかりだ。
Re:特許 (スコア:1)
>あまりに抜けすぎてる。きっとセキュリティ対策が不十分なシステムばかりだ。
今回関係している会社全部でセキュリティのガイドラインがきちんとはできてなさげ。
現場作業者が顧客情報自由使って金儲けって、半島見習ってどうするんだろう。
この場合セキュリティというかリスク管理?
#でも今の会社でもそうかも、人のふり見てわがふり直せ。
これ横浜銀行じゃなく (スコア:2, すばらしい洞察)
富士通フロンテックの名前を冠にしろよ…
Re: (スコア:0)
客にとっては、下請けだの委託先だのは関係なくて、横浜銀行が責任もつんじゃないの?
Re: (スコア:0)
いや、客が対応を求めるのは「他行」だろ?
富士通は丸投げ会社を何個作っているのやら… (スコア:1)
富士通フロンテック株式会社:当社元従業員による不正行為について
http://www.frontech.fujitsu.com/notice140205.html [fujitsu.com]
NEC系、富士通系、IBM系
系がつくだけで実態が分からない多重請負構造…
そろそろ一定のルールを作らないと破綻するんじゃないですかね。
バレないと思ったのかしらん? (スコア:0)
銀行に防犯カメラが山とあるのは知ってると思うんだけどなぁ。
ICチップの変造までやっているとは思えないので、磁気キャッシュカード+暗証番号で暗証番号はATM内にあったのではないかと妄想。
Re:バレないと思ったのかしらん? (スコア:2, 参考になる)
暗証番号はATM内にあったのではないかと妄想。
ATM解析用ログだそうです。
http://itpro.nikkeibp.co.jp/article/NEWS/20140205/534910/?P=2 [nikkeibp.co.jp]
Re: (スコア:0)
いまのキャッシュカードには暗証番号含まれていないはず。
あと、浜銀のカードはICではなかった。少なくとも手元にあるカードは磁気ストライプのみ。
磁気カードの仕様は銀行共通だろうから、dumpした中身からカードを偽造したのかな?
暗証番号も同じくdumpした中身や伝送路のキャプチャデータから解析した?暗号化ないのかは気になるけど。
ATMや銀行システムを作っている側からのアタックなんて防ぎきれないよ
Re:バレないと思ったのかしらん? (スコア:1)
浜銀は(少なくとも5年以上前から)ICりかつ指静脈認証対応です。
ちなみに、富士通フロンテックはUFJ銀行等で使われる、手のひら静脈認証の装置 [fujitsu.com]を作ってます。
Re: (スコア:0)
ええ、カード内に暗証番号入ってないのは知ってます(入っていたのは昭和の時代)。
キャッシュカードデータをATMから得ているという報道なので、もしかしたらATM内に暗証番号を溜めていた可能性があると思ってます。
(偽造枚数が少ないのもハマ銀ATMから得た他行データかつ、ICチップ非対応だけ選ったのではないかとおもってますけど)
Re:バレないと思ったのかしらん? (スコア:2)
通信ログあたりからカードデータを再現したんじゃないかと思うのですが、どうでしょう?
トラブルに備えてATM側で全通信データをログに残しておく、というのは基本でしょうし。そこで、「暗証番号部だけ伏せる」なんて細かい処理はしてないってこともありえるかな、と。
#あるいは、暗証番号部は伏せていても、チェックサムがログにあったら、そこから再現できたりして。
#ブルートフォースで誕生日とかのそれっぽい数字でチェックサムが一致したら、それで一回試してみる。失敗したらその口座は破棄、とか。
Re: (スコア:0)
通信トラブル対応のためならペイロードをログしておく必要は無いし、それ以外のトラブルであればすべてサーバー側を基準に対応するしかないよ。
だいたいATMなんて重機を使って物理的に強奪されることもあるのに暗証番号はおろか口座番号だって記録に残しておけるわけないでしょ。
Re: (スコア:0)
ICカードだって、関係者が正規の作成システムでデータ書き込んだら偽造可能ですから。
えっ? (スコア:0)
とりあえず「富士通フロンテック」って名乗ってるだけで
本当はもっと下の下の下のアルファベット3文字で略せる会社なんでしょ?
Re:えっ? (スコア:4, 興味深い)
横浜銀データでカード偽造容疑 委託先の元部長逮捕 [asahi.com]
氏名略
どうかなー。
うわあ...。
Re:えっ? (スコア:2, 興味深い)
「盗んだ金はパチンコやゲームなどに使った」 と言ってしまえば追求しようがないので、たとえ隠し持っていたとしてもばれなければ没収されないわけで。
Re: (スコア:0)
部長級だとさすがに多重名刺ってのは無さそうな気はしますね……。
むしろ部長級が作業してんのかよという謎は残りますが。
Re:えっ? (スコア:1)
以前関係工場の暗い部屋で働いてた時に聞いた話だと、本体に近いと3文字で離れていくと頭の"F"が取れたり、文字数が増えるそうな。
#ほんまかどうか知らんけど。
部長がやってたってのが痛いよなぁ。
アレだと直近の一年分だけバレてて、他の手口でもいっぱいやってそう。
どうせ実作業は一つの部署でだけだろうから、ある程度内容を暗号化してても内部的にはバレバレになってるんじゃないかと邪推。
個人情報見られる、ライター使える、カードもある・・・ ウハウハじゃん。ていう思考だっのかな。
当たり馬券を偽造してつかまったのもいたよね (スコア:0)
H系列の保守会社の奴だったけど
Re: (スコア:0)
> 多重とまではいかないんじゃないかな
えっ
Re: (スコア:0)
あせって途中で送っちゃった。
もしかしたら、ちゃんと富士通フロンテックを名乗ってた可能性はあるから偽装請負じゃないかもしれない。
だがそれでも多重請負であることには違いがないだろう。
こういってるわけだし。
> なお、保守管理業務を委託、となっているが、横浜銀行はNTTデータにATMシステムの開発・運用を委託しており、NTTデータは保守管理業務を富士通に再委託、さらに富士通はそのグループ会社である富士通フロンテックに業務を行わせているという多重請負構造になっていた模様。
日常的過ぎて、感覚が麻痺してませんか。