クラウド型口座開設サービスの設定不備、第三者から不正アクセス

株式会社SMBC信託銀行とSMBC日興証券株式会社は3月8日、クラウド型口座開設サービスへの第三者からの不正アクセスについて発表した。

SMBC信託銀行によると、社外のクラウド型口座開設システムに保管されていた同行Webサイトから口座開設手続きを行った顧客（手続きを中断した者も含む）の一部の情報が、アクセス権設定の不備が原因で第三者からアクセスされ閲覧されたことが判明した。

SMBC信託銀行が調査を行ったところ、2020年11月8日、12月3日の2回、最大101名分の個人情報に対し不正アクセスが確認されたが、アクセスログ情報の解析に係わる技術的な問題から顧客情報の特定が出来なかった。また、2017年7月24日から2018年1月31日の期間について、クラウドサービス提供事業者のアクセスログ保存期間経過のため情報がなく、調査が行えなかった。

不正アクセス可能であったのは、2017年7月24日から2020年7月18日の期間中に口座開設の手続きを行った最大37,176名分の顧客（手続きを中断した者も含む）の個人情報。

不正アクセスが確認されたのは最大101名分の口座開設における氏名、性別、生年月日、電話番号、メールアドレス、住所、勤務先、デビット用暗証番号（暗号化済み）を含む個人情報。

SMBC信託銀行では、本件判明後にセキュリティの設定変更を実施、2月12日以降は第三者からのアクセスが不可能な状態になっている。

SMBC日興証券によると、同行Webサイトから申し込み可能な「ネットで口座開設」サービスについて、同社のシステムに関する設定不備が原因で、顧客がWeb画面に入力した情報のうち最大50名の顧客の氏名、メールアドレスが第三者の不正アクセスにより閲覧されたことが判明した。

SMBC日興証券の調査では、2019年12月16日から2020年7月19日の期間に、SMBC日興証券Webサイトから「ネットで口座開設」を利用しダイレクトコースの口座開設手続きをした顧客（手続きを中断した者も含む）のうち最大50名の顧客の個人情報（氏名、メールアドレス）が2020年12月24日に第三者に閲覧されたとのこと。なお、当該50名については特定が不可能であることが判明している。

SMBC日興証券では2月11日の本件発覚後に、アクセス権設定を変更し、以降は第三者から閲覧できない状態になっている。