新生銀行のシステムで退職者によるハッキングがあったそうです。ニュース記事を見る限り、勤めている間に入手したIDとパスワードは、情報システムを運用するための管理者用権限を持つIDとパスワードと想定されます。以前でしたら管理者用IDは共通IDとして固定にしているシステムが多くありましたが、共通のIDだと誰が情報システムを操作したのか、後で検証できないため、個別IDで操作するのが推奨されています。業務の特性上、共通IDを使用する場合は、不正使用を防止するため、必要に応じてパスワードを変更することが必須となります。新星銀行並びに新星銀行のシステムを運用している会社はどうだったのでしょうか?(記事からは読み取れません)
情報システムの不正利用は内部の事情をよく知りえる人による犯行が多いため、退職者が使っていたIDやパスワードは使えないようにしておく必要があります。 職場で働いている人は、社員の他にも、協力会社、派遣社員、アルバイトなどの方がいますから、情報システムへのアクセスする際、情報セキュリティに関する教育を受けさせた上で、アクセスするための個別IDを与え、職場が代わった際は、速やかに該当する個別IDが使えなくするように運用する必要があります。 特に、システム管理者については、頻繁にパスワードを変更する配慮が必要です。
橘みゆき 拝 2008/07/17
採用を断られた腹いせに新生銀行の社員用ウェブサイトを改竄(かいざん)したなどとして、警視庁ハイテク犯罪対策総合センターと原宿署は不正アクセス禁止法違反などの疑いで、インド国籍で東京都江戸川区清新町、元派遣社員、アビナッシュ・シャルマ容疑者(32)を逮捕した。 調べでは、シャルマ容疑者は今年2月18日から3月11日までの間、以前、新生銀に派遣社員として務めていたときに入手していたIDとパスワードを使い、67回にわたって新生銀の内部ネットワークに不正にアクセス。 4回かけて約2600件のファイルを削除するなど社員用ウェブサイトを改竄した上、自分の犯行が発覚していないか確認するため、63回にわたって同社幹部のメールをのぞき見た疑い。 シャルマ容疑者は平成16年に、インドにある新生銀子会社から派遣され、約3年間、新生銀でシステムエンジニアとして勤務。「自分のレベルを上げたい」と19年10月に退社して別の金融機関に転職したが、今年2月ごろ、人員削減のため辞職勧告を受けた。そこで、再就職仲介会社を通じて新生銀に正社員採用を申し込んだが断られた。 「日本人じゃないから採用されず、人種差別を受けた」と思いこんで犯行に及んだという。 シャルマ容疑者の犯行により、新生銀の内部システムは約15時間停止。社員用ソフトが使えなくなるなどの被害が出た。顧客の情報流出や金銭的被害はないという。
[出展:新生銀システム改竄のインド人を逮捕 (産経新聞)]
