メタップスペイメントは2月28日、同社が運営するクレジットカード決済システム「トークン方式」のデータベース対する不正アクセスと情報流出について、社内調査の完了と対応について発表した。
同件は、2021年12月14日、クレジットカード会社より同社が提供する「イベントペイ」における不正利用懸念の連絡を受領したことから始まる。
12月15日には、クレジットカード会社からの情報連携を受け、社内調査にて対象システムを確認。しかし、問題を発見できずに第三者機関フォレンジック調査を含めた対処方針の検討を開始していた。
12月16日にイベントペイ内でのクレジットカード決済を停止。また、12月17日には第三者機関によるフォレンジック調査の開始した。なお、12月17日にもクレジットカード会社から追加の不正利用懸念対象情報を受領している。
2021年12月28日から2022年1月5日にかけて、イベントペイに加え「会費ペイ」を含む新たに3サイトのクレジットカード新規決済を停止。12月29日には、4サイトにおいて不正アクセスによる漏洩懸念が発生。当該サイト管理者への連絡とともに、調査を開始した旨を一部加盟店に通知していた。
1月21日には、情報流出懸念をより強める事象を確認。1月25日にクレジット決済サービストークン方式について全停止を行った。
同件について詳しくは、決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を利用し、不正アクセスが行われていたという。
攻撃は、2021年8月2日から2022年1月25日にわたり、(1)社内管理システムへの不正ログイン、(2)一部アプリケーションへのSQLインジェクション、(3)不正ファイル(バックドア)設置――の事項が複合的に行われ、個人情報を含む情報が外部に流出した。
具体的には、決済情報などが格納されている「トークン方式クレジットカード決済情報データベース」「決済情報データベース」「加盟店情報データベース」の3つのデータベースに対し不正アクセスがあり、それぞれから情報が流出したという。
トークン方式クレジットカード決済情報データベースでは、2021年10月14日から2022年1月25日に利用されたクレジットカード情報(カード番号、有効期限、セキュリティコードなど)が最大46万395件流出した。
決済情報データベースでは、2021年5月6日から2022年1月25日に利用されたクレジットカード決済情報(カード番号、有効期限)が434件、コンビニ決済情報(氏名、電話番号、メールアドレス)が109件、ペイジー決済情報(氏名、郵便番号、住所、電話番号)が17件、電子マネー決済情報(メールアドレス)が33件の合計593件が流出。
加盟店情報データベース情報(加盟店名、加盟店コード)の流出は38件となっている。
なお、現時点では、各事項の防止や排除などの対策が完了しているという。
同社では、情報流出が懸念される顧客に対し、決済サービスを提供している加盟店を通じて、電子メールなどにより順次連絡する予定だという。また、会費ペイ、イベントペイの利用者に対しては、同社から直接電子メールにより連絡する予定。
加えて、再発防止委員会と、情報流出が懸念される顧客を対象とする専用電話窓口も設置する。
さらに、2カ月後を目途に、再度PCI DSSアセスメントを実施するとしている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」