更新ミスで「他人の取引履歴が丸見え」に 大手銀行が青ざめたテスト体制の欠陥:情報漏えい事案から得る教訓
大手金融機関で、システム更新における問題が大規模な情報漏えいを引き起こした。原因は不十分なテストや品質管理体制だという。厳密なはずの金融機関のテストプロセスは、なぜ致命的な欠陥を見逃したのか。
システム更新後、利用者に他人のデータが表示されてしまった――。アプリケーション開発や運用に関わるエンジニアにとって、まさに背筋が凍るインシデントだ。もしそれが、絶対に厳格なアクセス制御が求められる金融機関のシステムだとしたら、その被害と責任問題は計り知れない。
英国の大手金融グループLloyds Banking Groupは、英国下院財務特別委員会からの質問に回答した。その回答から、最大約44万8000人のモバイルバンキング利用者が、他人の取引履歴を閲覧できる状態に陥り、そのうち約11万4000人の詳細情報が漏えいした根本的な原因が、プログラムの欠陥だったことが明らかになった。
更新ミスを生んだテスト体制の問題
Lloyds Banking Groupによると、2026年3月23日(英国時間、以下同じ)時点で約3625人の顧客に対し、精神的苦痛や不便に対する総額13万9000ポンド強の「見舞い金」を支払ったという。英国におけるデータ保護の監督機関である情報コミッショナー事務局(ICO:Information Commissioner's Office)に対し、法令で定められた「漏えい発生から原則72時間以内」という期限に従って通知を提出したと説明する。
2026年3月12日の未明から朝にかけて、Lloyds Banking Groupのオンラインバンキングアプリケーションに不具合が発生し、一部の利用者が他の利用者の取引履歴を閲覧できる状態になった。この情報漏えいは、同グループが展開するHalifax、Bank of Scotland、Lloyds Bankといった複数銀行の各アプリケーションの利用者に影響を及ぼした。
Lloyds Banking Groupはすでにこの情報漏えいを解決済みだ。一方で、財務特別委員会の委員長を務めるメグ・ヒリアー氏は、Lloyds Banking GroupのグループCEOであるチャールズ・ナン氏に対し、「個人の口座情報の不適切な開示」について問う公式書簡を送付した。その書簡中で、ヒリアー氏はこの事件を「データの機密性に対する憂慮すべき侵害だ」と非難した。
ヒリアー氏がLloyds Banking GroupのCEOに要求した情報には、漏えいの詳細や影響を受けた利用者の数、利用者個人を特定可能だったかどうかなどが含まれる。不具合で表示されてしまった他人の取引履歴をスクリーンショットなどで保存した可能性のある利用者に対し、そのデータを削除するよう促すために同グループがどのような措置を講じたかについても回答を求めた。
Lloyds Banking Groupでコンシューマーリレーション部門のCEOを務めるジャスジョット・シン氏は2026年3月24日付の書簡で、財務特別委員会の質問に回答した。シン氏は、同年3月11日から12日にかけての夜間に実施したシステム更新において、ソフトウェアの欠陥が生じたと述べる。
「この欠陥によって、ある利用者が自身の取引履歴を閲覧しようとした際、ごくわずかなタイミングのずれでほぼ同時にアクセスを要求した別の利用者に、そのデータが見えてしまう可能性があった」とシン氏は説明する。
Lloyds Banking Groupは、その欠陥がアプリケーションと銀行システムを連携するAPI(アプリケーションプログラミングインタフェース)を更新するためのソースコード設計にあったと断定している。同グループはアプリケーションの設計や品質保証、テストの工程でなぜこの個別の欠陥を検出できなかったのかについて、原因の特定を進めている最中だ。
シン氏によれば、不具合が発生していた時間帯に自身の取引履歴を閲覧した最大約44万8000人の利用者が、他人の取引履歴を閲覧できたか、あるいは自身の取引履歴を他の利用者に閲覧された可能性がある。同行の推定では、その期間に約11万4000人の利用者が特定の取引項目をタップして詳細画面を開いており、個別の支払いに関する詳しい情報が画面に表示されたとみられる。
シン氏は財務特別委員会に対し、Lloyds Banking Groupの不正検出およびサイバー監視のプロセスにおいて、今回のインシデントを悪用した形跡や悪意のある活動の証拠は見つかっていないことを強調した。同氏は書簡の中で、「当社の調査では、利用者が金銭的な損失を被った証拠は確認していない。現段階で損失の報告もないため、これを理由とした損害賠償の支払いは実施していない」と締めくくっている。
Copyright © ITmedia, Inc. All Rights Reserved.