「7年間同じ管理者パスワードだった」銀行システムに大非難

2011年4月12日に発生した韓国農協銀行のシステム障害は、1週間を過ぎた19日時点でも正常回復できず、22日を目途に作業が進められている(前回記事参照)。貯金の引き出しや振り込みなどの業務は再開されたが、クレジットカード関連業務はまだ取引データ損傷により復旧が長引いている。1週間以上も続く銀行のシステム障害は韓国で初めてのことである。

 Twitterでは「農協」がキーワード検索上位にランクされているほど。「今日も友達の農協のクレジットカードが使えず、私がおごった。4日連続~」、「学生証と農協のクレジットカードがセットになっていて、使いたくないのに使うしかない。なんとかならないのか」、「農協のネットバンキング使えないの、私だけですか?」などなど、農協と取引している顧客の不満が呟かれている。


 システム障害の原因については、サーバー管理を委託している下請け会社のノートパソコンに1カ月も前からサーバーのプログラムを全て削除してシステムを破壊するよう命令が仕込まれていたことまでははっきりした。ところが、ハッカーからの脅迫がなかったため、誰が何のために仕込んだのか分からず、犯人捜査は難航している。


 当初、システム障害は外部からのハッキングではなく、システム管理委託業者である韓国IBMの職員が何かの間違いでプログラムを削除してしまったようだとされていた。しかし、IT担当職員約550人の中で最高レベルの管理者権限を持つ人はIBMと農協職員合わせて8人ほどしかおらず、委託業者の職員は作業をするだけで権限がないため削除命令を仕込めない。ファイルの削除命令は通常何段階もの内部統制を経てから実施されるのに今回は一発で削除が始まった。これは外部からのハッキングとしか考えられない、という結論に達している。


 検察の捜査結果では、外部からハッキングでノートパソコンを動かした形跡も見つかった。ところがもっと深刻なのは、3000万人もの顧客を抱える農協の管理者パスワードが7年近くも変更されないまま使われ続けたことであった。セキュリティ管理がどれだけ適当に行われてきたのかを象徴するようなもので、Twitterでは非難が相次いでいる。








1週間以上もシステム障害が続いている農協について、Twitterでは顧客の不満が後を絶たない。赤枠は「農協検索結果」を示す


 サーバーのプログラムを削除するようにした命令語は、たった5分で275のサーバーを破壊し、バックアップシステムも作動しないよう止めてしまうほど、とても緻密に作られた組み合わせであった。情報をコピーする命令ではなく全てを破壊するように仕掛けられていた。このことから、システム障害の裏でまた何かが仕掛けられているのではないかと心配する人も多い。


 農協は、4月19日に開かれた記者会見で、「高度な技術を持つ者によるサイバーテロ」が発生したとし、システム障害はあったものの「顧客情報が流出されるようなことはなかった」と何度も繰り返し強調した。システム障害による顧客の被害を全て補償するとしている。例えば農協の口座から振り替えできずクレジットカード決済代金やローン返済の延滞が発生した場合、延滞金は農協が払うというものである。延滞により信用等級が下落した場合は、その記録を削除する。


 金融会社への行政指導を行う金融監督院は、金融会社のITセキュリティ全般の点検、セキュリティ事故に対する体系的対応と再発防止のため「金融会社ITセキュリティ強化タスクフォース」を始めた。農協の内部でセキュリティ統制管理に問題はなかったのか、管理監督規定を守っていたのか、委託業者の管理に万全を期していたのかといった調査も始める。民間専門家はもちろん、国家情報院、国民IDといった個人情報を担当する行政安全部、情報通信政策を担当する放送通信委員会など、他の省庁とも協力する。


 また金融監督院は、2009 年から全金融会社に対してセキュリティ保護責任者であるCSO(Chief Security Officer)任命を勧告したが、農協はCSOがないままだったことから、金融会社のCSO実態調査も着手した。情報システム責任者であるCIO(chief information officer)とCSOを兼任、またはCIOがいればCSOはいらないと考える企業がまだまだある中で、CSOの業務を独立させ権限を与えることで、金融会社のセキュリティ事故の再発防止を狙う。


 これは、今後このような事態が発生した場合は厳しく責任を追及するという政府の意思を表すものと分析されている。金融監督院は、これからCSOのいない金融会社に対してはセキュリティ体制が万全でないとして経営実績評価に反映するとしている。


 国会は金融会社のCSO任命を義務化する「電子金融取引法一部改定案」を発議した。「ハッキングや情報流出が毎年のように繰り返されているが、そのときだけ慌ててセキュリティに投資してまたすぐ忘れる。金融会社の信頼性を確保するためにも責任と権限があるCSOは必要だ」というのが改定案の趣旨である。


 銀行やクレジットカード会社では、IT部署とは別に情報管理と保護を専門とするセキュリティ担当部署を急いで新設している。東日本大震災の影響から、災害時のセキュリティ・情報保護・システム復旧体制を整えることも注目されているだけに、情報システムとセキュリティの専門家を確保するための競争が始まりそうだ。これもまた一過性のイベントで終わってしまわないといいのだが。




趙 章恩=ITジャーナリスト)

日経パソコン
2011年4月21日

-Original column
http://pc.nikkeibp.co.jp/article/column/20110421/1031393/

Leave a Reply

Your email address will not be published. Required fields are marked *