piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

業務委託先元従業員による松井証券の不正送金事案についてまとめてみた

2021年3月24日、松井証券は業務委託先であるSCSKの元従業員が2017年から2年半にわたり不正取得した認証情報を使い同社顧客資産の売却を行い、その売却金や現金を不正に取得を行ったとして元従業員が逮捕されたことを発表しました。またSCSKも元従業員による不正行為が行われていたことを発表しています。ここでは関連する情報をまとめます。

2年半にわたる不正行為

  • 逮捕された男はSCSK元従業員。SCSKは松井証券の取引システムの開発、保守、運用を担当しており、元従業員は入社年からシステムを専任で担当。
  • 警視庁による逮捕容疑は電子計算機使用詐欺、および不正アクセス禁止法違反等で3月24日付。2019年2月20日頃、自身の業務用PCに松井証券顧客の顧客IDなどを保管。10月から11月に顧客口座から自分が管理する顧客名義の銀行口座に約650万円を送金し、ATMで引き出した疑い。*1
  • 元従業員は拾得したキャッシュカードを通じて引出しを行ったと供述するも、不正送金は「全く身に覚えがない」と否認。*2

事案発生を受け、2社からは元従業員逮捕に関する発表が行われている。

発端は顧客からの通報
  • 身に覚えのない取引が行われたとして顧客から松井証券コールセンターへ行われた通報が事案発覚の発端。
  • 松井証券の調査開始後にSCSKに対しても状況照会が行われ、SCSKもそれを受け調査を開始。
  • 2社の調査により、調査開始から約1週間でSCSKの元従業員が不正行為に及んでいたことが判明。

顧客口座から約2億円を不正送金

元従業員によるものとして、疑われている不正行為は次のもの。*3

  • 松井証券の顧客210名分の顧客ID、パスワード、取引暗証番号を不正に取得。
  • 松井証券の顧客4名になりすまし、顧客有価証券(株式3700万円相当)を売却。
  • 松井証券の顧客15名の売却金3400万円を含む証券口座の現金約2億円を不正送金。
なりすまし口座開設にも関与か
  • 不正送金先の銀行口座は被害顧客と同姓同名の名義で開設されていた。
  • 元従業員のPCには顧客名義で偽造された健康保険証の画像データが保存されており、口座開設との関連が捜査されている。
  • 不正送金された松井証券の顧客は全額返金済。SCSKが補償を行った。

バックアップデータから認証情報抽出

元従業員が行ったとみられる松井証券の顧客ID等の不正取得行為は次の通り。

  • 松井証券のデータセンターから基幹システムのバックアップファイルをSCSKの開発環境に転送。
  • バックアップファイルから顧客ID等データを抜き取り、自分の私用メールアドレス宛に送信。*4
定例業務を装って不正行為に及んだか
  • バックアップは委託された通常業務として松井証券側の了承を経て定期的に行われている。元従業員はこの業務を装い今回の不正行為を行った可能性がある。
  • 松井証券のデータセンターへは本番環境障害発生時にSCSKがリモートでログ参照等の保守業務を行っており、SCSKの開発環境は本番環境とネットワーク接続されていた。
  • 元従業員は本番環境、開発環境共にアクセス権限を保有していた。*5
  • この時行われたファイル転送行為は業務とは無関係であったが、この行為を異常として検知することはできていなかった。また元従業員が私用アドレス宛にデータを送っているが、不正なメール送信防止を行う仕組みもすり抜けていた。*6
  • 不正に取得されたパスワード、取引暗証番号がどのように保護されていたかについてはセキュリティに係るため回答できないと松井証券は回答。*7
  • 元従業員は「業務でデータを自分のPCに入れたかもしれない」と詐欺行為については否認している。

把握後の対応等

  • SCSKは証拠隠滅を避けるために元従業員に事案調査や警察の捜査等の察知を避けるべく可能な限り配慮を行っていた。松井証券側とともに発覚以降の不正行による被害拡大を防止するためシステム上の手当てを含む措置を講じた。(発覚以降の被害は発生していない。)
  • SCSKがシステム開発等を担当している他金融機関の全受注案件に対し調査を行ったが、個人情報取扱を含む業務プロセス、セキュリティ対策上の問題がないことを確認済。
  • 松井証券は事案発生を受け内部事情に詳しい人間に対する監視体制が不十分であったとした。*8

関連タイムライン

日時 出来事
2002年4月 元従業員が日本フィッツ(当時)へ入社。
2002年5月頃 元従業員が松井証券のシステム担当開始。プロジェクトリーダーとして業務に従事。
2017年6月29日~2019年11月12日 元従業員が松井証券の顧客ID等認証に必要な情報を不正取得し、顧客口座より不正送金した疑い。
2020年1月17日 松井証券へ顧客から身に覚えのない取引の通報がコールセンターへ有り。
2020年1月頃 松井証券が調査を開始し、元従業員の関与を特定。
事案発覚当時 松井証券は事案発生について金融庁へ報告。警察にも被害相談。
2020年9月 SCSKは元従業員を千代田区麹町警察署に対し刑事告訴。
2021年3月24日 SCSK元従業員が電子計算機使用詐欺等の容疑で逮捕。
同日 SCSKが元従業員を懲戒解雇処分。
同日 SCSKが元従業員による不正行為公表をうけて記者会見。

更新履歴

  • 2021年3月28日 AM 新規作成