メタップスペイメント、不正アクセスにより個人情報が流出の恐れ
- 元記事:不正アクセスに関するご報告とお詫び
- 元記事:不正アクセスによる情報流出に関するご報告とお詫び
- HP: メタップスペイメント
| 会社名 | 株式会社メタップスペイメント |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | サーバ |
| 漏洩場所 | 社外 |
| 漏洩内容 | |
| 漏洩件数 | |
| 漏洩日時 | |
| 発表日時 | 2022/1/25 |
メタップスペイメントにて不正アクセスにより個人情報が流出の恐れ。同社が運営するクレジットカード決済システム「トークン方式」のデータベースに対し、第三者からの不正アクセスを受け、当該データベースに格納されている情報が流出した可能性があることが判明した。
クレジットカード会社より、同社が提供しているサービス「イベントペイ」での不正利用懸念について連絡を受けたが、社内調査において対象システムを確認したが、問題が発見できなかったことから、「イベントペイ」のクレジットカード決済を停止するとともに、第三者機関による調査を開始。また、クレジットカード会社から追加の不正利用懸念について連絡を受けたため、「会費ペイ」を含む新たに3サイトのカード新規決済を停止した。第三者機関の調査の結果、同社決済センター内にある一部アプリケーションに潜在していた脆弱性を侵入経路とし、同システム環境下にある「トークン方式」のデータベースに格納されている一部情報にアクセスされたことが判明し、調査を継続する中で、情報流出の懸念を強める現象が確認されたことから「トークン方式」の全停止を行った。不正アクセスされた情報については、現在も調査中であり、調査完了については2022年2月中旬になる見込みである。
第三者機関による調査の結果、2021年8月2日から2022年1月25日の期間中に、社内管理システムへの不正ログインおよび一部アプリケーションへのSQLインジェクション、不正ファイルであるバックドアの設置が複合的に行われており、決済情報等が格納されているデータベースにまで達していた。流出した情報について、トークン方式クレジットカード決済情報データベースは、2021年10月14日から2022年1月25日に利用があったクレジットカード情報が流出があったことが確認されているが、実際に流出した情報の特定は困難であるとし、流出した可能性としては最大で460,395件としている。また、決済情報データベースからは、2021年5月6日から2022年1月25日に利用した顧客の情報593件の流出を確認しており、加盟店情報データベースからは38件の流出が確認された。攻撃が確認された社内管理システムは不正ログイン対策として、ログイン認証方式の強化を実施し、SQLインジェクション対策として、接続元の限定および、攻撃から狙われるような脆弱性を修正、設置されたバックドアは削除を完了している。同社は、当該顧客に対し、お詫びと説明ならびにクレジットカードの不正利用に注意を呼び掛けている。(2022年2月28日追加)
