セキュリティ

SECURITY

公開：2025-01-23

三菱UFJニコスのカード情報システムに不具合、16社間で約40万件の情報が閲覧可能な状態に

text: XEXEQ編集部
（記事は執筆時の情報に基づいており、現在では異なる場合があります）

記事の要約

• 三菱UFJニコスなど16社でカード情報の閲覧制限に不具合
• 約40万人分のカード情報が他社端末でも閲覧可能に
• システム改修時の誤設定が原因、不正利用は確認されず

三菱UFJニコスのカード情報閲覧システムに発生した不具合について

三菱UFJニコスは2024年1月22日、同社およびフランチャイジー各社、カード業務受託企業を含む合計16社間において、保有するカード情報の一部が自社以外の15社の業務端末でも閲覧可能になっていた事実を公表した。約40万人分のカードについて、カード番号や有効期限、口座番号、入会日が確認できる状態となっていたことが判明したのである。^[1]

IDやパスワード、セキュリティコード、氏名、住所、生年月日などの重要な個人情報については閲覧できない状態が保たれていたことが確認された。2024年12月の発覚後、直ちに対象端末での他社カード情報の閲覧を不可能にする対応が実施され、現時点において閲覧可能だった情報の不正利用は確認されていない。

問題となった業務端末では情報の照会・登録のみが可能であり、他の媒体への書き出し機能は実装されていなかった。16社では従来からID・パスワードによる業務端末の閲覧権限制限や個人情報取り扱いに関する安全管理を徹底しており、今後も本件に起因するカードの不正使用発生の可能性は極めて低いとの見解を示している。

カード情報閲覧システムの不具合詳細

システム誤設定について

システム誤設定とは、情報システムの設定値や権限、パラメータなどが意図しない状態になることを指す。主な特徴として、以下のような点が挙げられる。

• 本来アクセスできないはずのデータへのアクセスが可能になる
• セキュリティ制限が正しく機能しなくなる
• システム改修やアップデート時に発生するリスクが高い

今回の三菱UFJニコスの事例では、システム改修時の誤設定により複数社間でのカード情報の閲覧が可能になった。当該システムでは情報の照会・登録機能のみが実装され、外部への書き出しは制限されていたものの、アクセス制御の観点で想定外の状況が発生していたことが明らかになっている。

カード情報システムのセキュリティに関する考察

三菱UFJニコスの事例から、複数社間でのシステム連携においてはアクセス制御の重要性が改めて浮き彫りになった。システム改修時の設定変更は慎重に行う必要があり、特に個人情報を扱うシステムでは複数の検証プロセスを設けることが望ましいだろう。

カード会社間での業務提携やシステム共有が進む中、各社の情報を適切に隔離しながら効率的な運用を実現することが求められている。今後はAIによる異常検知システムの導入やリアルタイムモニタリングの強化など、より高度なセキュリティ対策の実装が期待されるところだ。

また、本件ではIDやパスワード、セキュリティコードといった重要度の高い情報へのアクセスは制限されていたものの、カード番号や有効期限の閲覧が可能だった点は改善の余地がある。多層的な防御策を講じることで、システムの誤設定が発生した場合でも被害を最小限に抑える仕組みづくりが重要になるだろう。

参考サイト

1. ^ . 「https://info.cr.mufg.jp/info/down2.php?attach_id=892&seq=1」. https://info.cr.mufg.jp/info/down2.php?attach_id=892&seq=1, (参照 25-01-23).

※上記コンテンツはAIで確認しておりますが、間違い等ある場合はコメントよりご連絡いただけますと幸いです。

「セキュリティ」に関するコラム一覧「セキュリティ」に関するニュース一覧