ZDNetの引用記事になります。

https://www.zdnet.com/article/south-african-bank-to-replace-12m-cards-after-employees-stole-master-key/?&web_view=true

概要

南アフリカの郵政民営銀行は、従業員がデータセンター内でマスターキーを印刷し、320万ドルを窃取するために同マスターキーを利用したと発表。

同銀行は、320万ドル以上を失い、また1200万枚以上のカードを再発行しなければいけない事態に陥っている。

マスターキーは36文字の暗号鍵で、銀行のオペレーションを解読し、銀行システムへのアクセス及び変更を可能にするものであった。また同キーは、顧客カード向けの暗号鍵を発行するのにも用いられていた。

内部レポートによれば、2019年3月から12月の間で従業員がマスターキーを用いて25000以上のトランザクションを発生させ、320万ドルを顧客の口座から盗み出したという。

同銀行は、マスターキーによって作成された全顧客のカードを再発行する必要があり、それには5800万ドルものコストがかかることが推測されている。

有識者の声

従業員はHost Master Key（HMK）へのアクセスが可能だったことが推測できる。

HMKはすべての鍵を保護するために利用でき、同時にATMのピンコード、自宅の端末、顧客データ、クレジットカード情報等々の情報にアクセスするために悪用できてしまう。

今回の鍵は、これらのデータが含まれる内部のアプリケーションおよびデータベースと繋がっているメインフレームもしくはサーバで利用された。

一般的な対策として、HMKは専用のサーバで管理され、また物理的なアクセスから厳格に保護されておく必要がある。

また、1ユーザがすべてのキーにアクセスできる状態にせず、役割に応じて最小限の権限を与えるべきである。

一般的に、これらのキーは今回のような攻撃を避けるために定期的に変更されるべきである。

思うこと

非常に大規模なインシデントですね。300万ドルということは3億円規模かと。

今回のインシデントからは、鍵管理と内部不正防止の重要性が分かるかと思います。

鍵管理については、第三者の鍵管理サービスを利用したうえで、アクセスできるユーザを厳密に管理することやキー情報を定期的に変更することが一つの方法かと思います。

また内部不正を防止する観点では、以下のような基本原則をもとに、セキュリティ対策を予防する取り組みをしていくことが求められます。

内部不正防止の基本原則（IPAの内部不正ガイドラインより引用。）

• 犯行を難しくする（やりにくくする）：対策を強化することで犯罪行為を難しくする
• 捕まるリスクを高める（やると見つかる）：管理や監視を強化することで捕まるリスクを高める
• 犯行の見返りを減らす（割に合わない）：標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
• 犯行の誘因を減らす（その気にさせない）：犯罪を行う気持ちにさせないことで犯行を抑止する
• 犯罪の弁明をさせない（言い訳させない）：犯行者による自らの行為の正当化理由を排除する

以上