SMBC信託銀行のクラウド型口座開設システムへの不正アクセス、デビット用暗証番号が “復合化” された可能性

株式会社SMBC信託銀行は3月29日、同社が3月8日に公表したクラウド型口座開設システムへの不正アクセスについて、その後の調査結果を発表した。

同行ではアクセス権設定の不備が原因で、社外のクラウド型口座開設システムに保管されていた同行Webサイトから口座開設手続きを行った最大101名分の顧客（手続きを中断した者も含む）の氏名、性別、生年月日、電話番号、メールアドレス、住所、勤務先、デビット用暗証番号（暗号化済み）を含む個人情報が第三者に不正アクセスされたことが確認されていた。

同行によると、その後の調査により暗号化済のデビット用暗証番号が復号化（編集部註：暗号化されたデータを平文に戻すことは一般に「復号化」ではなく「復号」と呼ぶ）されて閲覧された可能性が判明した。

復号化（編集部註：暗号化されたデータを平文に戻すことは一般に「復号化」ではなく「復号」と呼ぶ）されたデビット用暗証番号に不正アクセスされ得る状態であったのは、2019年10月1日から2020年7月18日に同行Webサイトから口座開設（GLOBAL PASS：多機能Visaデビット一体型キャッシュカード）の手続きをした一部の顧客（手続きを中断した者も含む）1,954名。なお、不正に閲覧された可能性がある件数は最大101名だが、アクセスログ情報の解析に係わる技術的な問題から顧客の特定が出来ないという。

同行ではデビット用暗証番号が復号化（編集部註：暗号化されたデータを平文に戻すことは一般に「復号化」ではなく「復号」と呼ぶ）されて閲覧された可能性がある顧客に対して、改めて説明と謝罪および二次被害に対する注意喚起の案内を開始している。

同行では今後、顧客の情報管理体制の強化を図り、再発防止に努めるとのこと。