業務委託先元従業員による松井証券の不正送金事案についてまとめてみた - piyolog

2021年3月24日、松井証券は業務委託先であるSCSKの元従業員が2017年から2年半にわたり不正取得した認証情報を使い同社顧客資産の売却を行い、その売却金や現金を不正に取得を行ったとして元従業員が逮捕されたことを発表しました。またSCSKも元従業員による不正行為が行われていたことを発表しています。ここでは関連する情報をまとめます。 2年半にわたる不正行為 逮捕された男はSCSK元従業員。SCSKは松井証券の取引システムの開発、保守、運用を担当しており、元従業員は入社年からシステムを専任で担当。 警視庁による逮捕容疑は電子計算機使用詐欺、および不正アクセス禁止法違反等で3月24日付。2019年2月20日頃、自身の業務用PCに松井証券顧客の顧客IDなどを保管。10月から11月に顧客口座から自分が管理する顧客名義の銀行口座に約650万円を送金し、ATMで引き出した疑い。*1 元従業員は拾得し

[kenjou]

金融機関でも定期的に横領事件が発生するし、犯罪行為であっても、大金を入手できる機会があると手を出してしまう人は必ず現れる。機会を作らせないことが重要。

[stella_nf]

派遣じゃなくてSCSKの正社員。20年近く松井証券担当だったようだ。

[n_y_a_n_t_a]

"不正送金先の銀行口座は被害顧客と同姓同名の名義で開設されていた"偽造というより松井証券に口座開設するときの本人確認書類データを不正取得したとかじゃないのか

[Mu_KuP]

"SCSKの開発環境は本番環境とネットワーク接続されていた。"ってのが闇だと思うが。ログなどの証跡から追えたのはそれなりによく出来たインフラだとは思うけども。

[uxlayman]

入社後1ヶ月でプロジェクトリーダーとして業務に従事してそれから15年以上同じ仕事？なのが闇を感じる

[cbkf]

逮捕時の年齢が42歳だから2002年5月頃の「松井証券のシステム担当開始。プロジェクトリーダーとして業務に従事」というのは新卒入社1か月後のことかと思うんだけど、この年表が正しいのなら滅茶苦茶なアサインだな。

[ryunosinfx]

これ、元従業員側の主張としてはやってないなのか。偽造保険証の画像が出てきてるのにか。ここまでやるのに証拠画像が見つかる点がしょぼいとしか。その割には重罪な銀行口座の大量に偽名開設出来てしまった度胸よ

[lifefucker]

“セキュリティに係るため回答できないと松井証券は回答。” これは暗号化してなかっただろうな

[h1roto]

“SCSKの開発環境は本番環境とネットワーク接続されていた” いやいやちょっと待って

[m_yanagisawa]

全員が同様とまでは言わないが、安いお金で「アウトソーシング」している限り、この手の不正事案は止まらないような気はする。

[ys0000]

悪意ある内部犯をどう防ぐかって永遠の課題だなぁ。AIに任せるところは任せるとして、セキュリティホールがあればまとめて抜かれるってのは人の運用でも変わらず。嘘発見器的なものが必要になるとか？

[hdkINO33]

“逮捕された男はSCSK元従業員。SCSKは松井証券の取引システムの開発、保守、運用を担当しており、元従業員は入社年からシステムを専任で担当。”

[karkwind]

これ、外部委託するとこうなるという典型的な例だよな。ベネッセしかり…

[hatest]

穴（※セキュリティホール）があったら入りたい

[areyoukicking]

運開分離してなかったってことだと思うんよね。まぁ、怒られますね。これは

[naoto_moroboshi]

どうでもいいけど新卒？として入社一年目でPLってあるの？　プレッシャーで死にそう。

[hsabetto]

とても厳しいです。実際、足がつかない犯行はほぼ不可能と言っていいと思いますが、犯行自体を防ぐのは運用に頼る部分も大きく。

[oyagee1120]

“日本フィッツ（当時）”実質的には山一マンみたいなもんね/本開間のデータ転送は転送内容含めて承認を得なければ実施出来ない仕組が当たり前、証券だから緩いのではなく松井とSCSKがおかしい

[atm_09_td]

この社員は旧SCS側か旧CSK側のどちらなんだろう。

[yuno001]

これ、本番開発分離できてないのが根本原因でしょ。データ連携にしても、連携主体と運営主体を分ける仕組みが必要。証券は緩めだが銀行ならここまでひどくない。

[softboild]

"被害顧客と同姓同名の名義" 証券会社は本人名義の口座じゃないと出金できないのが普通だからそうしたんだろうけど、被害者の数だけ口座を作ってたのだろうか。あるいは同姓同名の顧客をピックアップした？

[sirobu]

本番環境にアクセス出来る場所は顧客の承認なく立ち入れないようにする。作業内容はコマンドを手順化し承認の後、複数人で作業を行う。ファイル授受は必ず証跡が残る形以外では行えないようにする。かなぁ

[sin20xx]

正直システム的な監視って、エンジニアからするといくらでも抜けられると私は感じている。なので、ローテクなんだけどそういった権限や管理は、最後は俗人的なもの、つまり人間性とか組織の関係性で守るしかないかと

[greenbow]

この事件これが一番問題だと思うのよね。 “この時行われたファイル転送行為は業務とは無関係であったが、この行為を異常として検知することはできていなかった”

[ryu39]

顧客ID、ログインパスワード、取引暗証番号がわかっているので、株式売却、出金できるのはわかる。同姓同名口座の作り方、出金先への登録方法がわからん。ここがザルだと最後の防波堤が機能してないことになる。

[hiroomi]

“逮捕された男はSCSK元従業員。SCSKは松井証券の取引システムの開発、保守、運用を担当”

[Bioegg]

徹底的に防止するなら手間がかかってもアクセス分離や手順の厳格化やPCに負荷かかってもツール入れるしかないやろうな。その分、工数=金がかかるってことになるけどな。

[uunfo]

被害者からの問い合わせは最初はあり得ないとしてまともに取り合ってもらえなかったとかありそうだけどどうなんだろう

[uokada]

悪名高いけど「開発と運用の分離」ってのが必要なのかもな。 https://bit.ly/3fmlGEH

[smura0]

"取得された「パスワード」や「取引暗証番号」について、ハッシュ化といった対策が実施されていたかについては、「セキュリティに関わるため回答できない（松井証券広報）」としている。"

[Falky]

証拠隠滅を避けるためとはいえ、「やった」とわかってる人間をそのまま1年以上雇い続けてたのか。