TOP > IT・テクノロジー > 元社員による松井証券の不正出金でSCSKが会見、PLの立場悪用した手口が明らかに | 日経クロステック(xTECH)

元社員による松井証券の不正出金でSCSKが会見、PLの立場悪用した手口が明らかに | 日経クロステック(xTECH)

 SCSKは2021年3月24日午後5時過ぎ、元社員が松井証券の顧客から約2億円を不正に出金した事件について会見を開いた。SCSKの谷原徹社長ら3人の役員が事件の経緯や被害状況を説明。谷原社長は「当社...

ツイッターのコメント(118)

本番環境へのアクセス権がある人間の人格を疑い始めたら毎日嘘発見器つかうしかなくなるけど、これ実際どうやった。復元可能な形式で保存されてたってこと?それか、2年5ヶ月の間に開発環境で総当りでもやったか?
それはそうと偽造した本人確認書類が通っちゃった銀行どこや
こんな事件あったのか。
面倒だけど他要素認証はやっぱり入れようと思いますね。
パスワードがテキストでDBにあったのかな
色々問題やないか?
パスワードを平文でDBに保存してたとしか思えん。頭痛いな…。
→サイバー攻撃の対策も大事だけど、不正行為に対する内部統制をきっちり行わないといけませんな。
ずっと専任でやってたってことはシステムに精通する人材として重宝してた側面もあるわけですよね。→ 元社員は2002年の入社以来、松井証券のシステムを専任で担当
これやべえよな。自分が関わった顧客情報がある案件だと、商用環境からの開発運用系でのデータ読み出しの転送量を照合する取り決めにしてるとか、商用環境から開発環境へデータ転送するときに顧客情報を匿名化するツールを作って経由するとかやってるけど、
どうやってもバレることをする思考がよくわからないな。
運用委託先の問題というよりも、松井証券のシステムのパスワード保管方法に問題があるように見えてしまう😟 "本番環境で顧客情報を含むバックアップファイルを作成して開発用システムに転送。…IDやパスワード、取引暗証番号など取引に必要な情報を不正に入手した"
元社員による
の不正出金でSCSKが会見、
PLの立場悪用した手口が明らかに


・210人分の顧客情報を私用のメールアドレスに転送
・ で顧客と同姓同名の銀行口座を開設
・株式の売却代金や預かり金を計15回送金



予想以上に悪質だった
いや、これは…ガチやん
→これをやられたらおしまい
めちゃめちゃヤバいことやってて笑う。SIerでこれやったら終わりでしょ😇
20年同じシステムのお守りするのか、、。悪さしたくなっちゃたのかね。
元社員は証券口座にログインして株式を売却。さらに偽造した本人確認書類で松井証券の顧客と同姓同名の銀行口座を開設し、株式の売却代金や預かり金を計15回送金
内部不正 / Insider Threat
入社して20年近くずっと常駐とかIT業界ってまだこんな感じなんですね。

>元社員は2002年の入社以来、松井証券のシステムを専任で担当しており
パスワード平文で登録は割とある話だと思う。
関わった案件ではそういうプロジェクトもあったし。

今となっては怖くてそんなん出来ないけど
PLの 立場悪用 した手口
確か2002年当時は
住友に買われる前のCSKの
子会社だったかな。
子会社を吸収したcskが
リーマンショックで傾いて
住友に買われた。
膿は元から正さないと駄目でしょ。
物理的にわけてなかったの?「本番環境で顧客情報を含むバックアップファイルを作成して開発用システムに転送」
> 元社員は2002年の入社以来、松井証券のシステムを専任で担当しており

19年間も1ユーザ専任って、SCSKの人事ちょっとおかしいんじゃないだろうか。
認証情報が利用できる形で持ち出されたということかな。
SCSKの松井証券のやらかしの件、
本番データとはいえなんでパスワードが分かるんだ、ハッシュ化してないんか、という疑問もさりながら、2002年入社からずっと専任だったというのが笑えない。
2002年から専任担当で2017年から悪事に手を染めたか。なにがそれを誘発したのかねぇ。待遇か人間関係か評価か、そういう環境面の要因も調べて改善しないとシバきあげることにしかならんのよな >
「開発用システムで210人分の顧客情報を抽出して私用のメールアドレスに転送することで、IDやパスワード、取引暗証番号など取引に必要な情報を不正に入手」アウトォ
「絶対に不正を働かない社員」…青い鳥みたいなものだね |
ただでさえ個人情報保護やセキュリティ対策が厳しさを増す中、まさか内部でやられたらたまったもんじゃないですわ。。
松井証券で2億円盗んだ方はプロジェクトリーダーだったとの事で


人格結構やばい人が内部権限持つケース想定必要だが
リードする人自体がそうだときつい
この人は
「何故顧客情報がPCに入ってるか分からない」
「拾ったキャッシュカードの情報で引き出した事はある」と言い訳
犯罪云々とは関係なく日本の悪習だよな。これ。

元社員は2002年の入社以来、松井証券のシステムを専任で担当しており
SCSKは松井証券の証券取引システムの開発・運用を受託しており、元社員はPLを担当。同システムの本番環境と開発環境の両方にアクセスできる権限を持っていた
IDはともかく、パスワードが入手できるってどんな設計なんだ???DBのパスワードなんてsalt付きhashとかでは???
2億って・・・・・SCさんヤバいね・・・
セキュリティ犯罪のかなりの割合が内部犯だってのはよく聞くけど、PLにこんなことされたらもうどうすりゃいいんだって感じだな
19年間同じ顧客のシステムを担当させるというのは不正の温床になる気がする
顧客情報を生のまま開発環境へ転送できる事自体がNGだよね😉
結局パスワードのハッシュ化してなかったのだろうけど、PLに「工数ギリギリなのであとで対応します」とか言われるとそのまま進行しちゃいそうだな…。

これ、マトモな神経では恐ろしくてできん事だぞ…どんな肝っ玉してるんだ。
エンジニアにまず求められるのは倫理です。

儲かるからエンジニアになるって人はまず倫理も持ってるんですかね?
ぴゃあああああ(白目)

/
18年同一システム担当かぁ。。絶対腐る。

“元社員は2002年の入社以来、松井証券のシステムを専任で担当しており、「他社のシステムへの関与はない」”
マジでやべぇPLだな。ただ放置気味の証券口座を狙えば数年〜数十年は気づれなさそうだから純度100%の悪意すら感じとれる。
あらら。
これパスワードが平文で保存されていたんじゃ…。そっちもまずくね?
「開発用システムで210人分の顧客情報を抽出して私用のメールアドレスに転送することで、IDやパスワード、取引暗証番号など取引に必要な情報を不正に入手した。」
開発環境が外の世界につながっちゃう運用なのやばいってー
もっと見る (残り約68件)
 

いま話題のニュース

もっと読む

 
PR