電話番号1.4万件漏えい=出会い系口座から−三菱東京UFJ銀
三菱東京UFJ銀行は30日、インターネットを利用した出会い系サイトなどの運営事業者の口座記録が不正アクセスを受け、振り込みを行ったサイト利用者の電話番号が約1万4000件漏えいした可能性があると発表した。この番号が架空請求詐欺に利用されていたことも判明しており、同行は被害状況を調べ、補償を含めて対応する。
10月下旬に警察からの連絡で発覚した。口座の入出金明細と残高を自動音声で読み上げる同行の「残高照会ダイヤル」のシステムに不備があり、特定の数値を入力すると第三者でも明細が分かる仕様 になっていた。4月28日から10月28日の間、47口座の記録が不正アクセスを受け、振り込み依頼人の電話番号のほか、カタカナで表記された氏名の一部も流出した。現在、不備は解消されている。
本人しか知り得ないパスワードを知らなくても認証が通るマスターキー(マスターパスワード)的なものが、残高照会ダイヤルのシステムに実装されていたという「不備」で起きた漏洩事件のようです。
システム構築中のデバッグで使われた残骸なのか、システム開発に関わっていたプログラマのちょっとしたサービス精神なのか、はたまた特定機密なことに利用する方への配慮で用意した機能なのか、どういう理由でかは分かりませんが。
いわゆるバグと称される過失で起きえる「不備」ではなく、意図を持って機能を実装しないと起きえない「不備」です。
ちなみに世間の常識では、この手合いのは バックドア と称されます。
不正なアクセスを受けたのは47口座ということですが、「意図していなかった人にマスターパスワードを使われた」を不正と定義しているだけのことで、「マスターパスワードを使った不正でないアクセス」を受けた口座は47だけには留まらないでしょう。
東海銀行だった当時に開設した私の口座も誰かに見られていたかも知れません(笑)
三菱東京UFJ銀行が求めた「仕様」でないとしたら、システム会社(日立?)が勝手に仕込んだものになりますが、システム会社から納品されたプログラムの監査をしてないのでしょうか。
統廃合を繰り返して今の社名になってるわけで、その間に何度もプログラムに修正かけているでしょうから、10年以上にわたってずっと発見されないでいたとは考えにくいのですが・・・
などと書いてますがアホもいい加減にしてくれ、と。
まず先に、どういう経緯でバックドアが仕込まれるに至ったのか、それを説明するのが先でしょ。
粉飾会計を不適切会計と言い換えて全力で擁護した東芝 と同じ臭いが漂ってきます。
三菱東京UFJ銀行 は 三菱東京UFJダイレクト というサイトを用意してインターネットから取引が出来るようになってますが、同じようなバックドアが仕込まれていないか第三者からは分かりません。
もし私が当局の高級官僚だったら
口座番号と特定の文字列でログインできる「不備」を予め仕込んでおくこと
って全ての銀行に命令して「特定の文字列」を提出させるでしょうね。
もちろん「この件は特定機密に指定されているので取り扱いに注意するように」という念押しも忘れずに(笑)
