Security nextを確認していたところ、松井証券で顧客資産不正引き出しの記事が目につきました。https://www.security-next.com/124542
各報道を見て、何が原因だったか推測したので、まとめてみたいと思います。
2017年6月29日から2019年11月12日にかけて、SCSKの従業員が業務上付与されたアクセス権限を悪用してログインに必要となる「ID」「パスワード」や、取引時に用いる「取引暗証番号」を不正に取得。その後、顧客になりすまして有価証券の売却など行い、預かり資産を引き出していた疑いが持たれている。
「松井証券で顧客資産約2億円が不正引出 – 長年業務に携わる委託先SEが権限悪用」より引用
SCSKという会社名が出たので、SCSKのHPを確認すると、お知らせが出ていたので、確認する。
「当社元社員による不正行為について」https://www.scsk.jp/news/2021/pdf/20210324.pdf
また、松井証券からもお知らせが出ていたので、確認する。
「業務委託先元従業員の逮捕について」https://www.matsui.co.jp/parts/pdf-view/web/viewer.html?file=/company/ir/press/pdf/pr210324.pdf
まず、時系列を整理する。
| 2017年6月29日~2019年11月12日 | 元従業員が犯行を実施 | |
| 2020年1月 | 顧客の問い合わせで松井証券から、SCSKへ調査開始の連絡
明確な時期の記載はないが、この時点で当該違反者を特定 |
| 2020年9月 | 元従業員を電子計算機使用詐欺等の罪で逮捕 |
今回の事件が起きるにあたり2つのプロセスがあります。
1.利用者になりすまして有価証券の売却
2.売却したお金の送金
1.利用者になりすまして有価証券の売却は、業務上、本番DBに保存されていたIDとパスワードを使ったと考えられます。
また、取引暗証番号も取得されていることから、他の機微な情報もハッシュ化されずに格納されており、もっと大きな被害を与えることができたかもしれません。
ここで、パスワードが平文で保存されていたことが一つ目のセキュリティホールだと考えられます。
すぐに犯人が特定できたことから、本番DBへのアクセスログは取られていたのでしょう。
2.売却したお金の送金は、本人確認書類を偽装し、被害者と同姓同名の口座を作って送金していたようです。
この辺りは対処は難しいかなと思います。実際の送金判定する銀行側ですし、人のチェックにも限度があります。
まとめると、一番の原因は、DBにクレデンシャル情報がハッシュ化されずに置かれていたことかと思います。
ここからは推測の上での対策なのであまり有効性はございません。
さて、根本解決としては、DB上にクレデンシャル情報を平文で持たないことでしょう。
次に、従業員の管理でしょうか。不正のトライアングルという考え方があり、機会、動機、正当化の3つが揃うと人は不正に走るというものです。
今回、平文で保存されたクレデンシャル情報にアクセス出来て、機会を得たものと思われます。そこから、動機がどのように生まれたかです。
先日Githubにソースコード漏洩の事件がありました。あの時は、意図せずの不正でしたが、給料が安かったというのも一つの動機となるでしょう。
ここまで、見てきましたが、現状わかっている情報だとあまり深くまでは推測することができません。
追加の情報が出たら、記事を更新しようかと思います。
入会申込
ログイン
