メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
メタップスペイメントのデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したことが分かった。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたという。
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。
流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。
同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。1月25日までに各種対策を施した上で、クレジット決済サービス「トークン方式」を全停止した。2月18日には警察に被害届を提出している。
同社は1月25日に第1報を発表。その際には、不正アクセスの原因や流出の内容は調査中としていた。
メタップスペイメントは、外部の専門家を含む再発防止委員会を設置。今回の事態を引き起こすに至ったガバナンスや組織、社員意識などの問題について議論し、4月をめどにとりまとめるとしている。クレジットカード決済事業社向け情報セキュリティ基準「PCI DSS」に基づいたセキュリティ評価も再度実施する。
関連記事
- クレカ決済システムに不正アクセス受けサービス停止 メタップス「原因や流出内容は調査中」
メタップスペイメントが、クレジットカード決済システムのデータベースに不正アクセスがあり、情報が流出した可能性があると発表。安全のためトークン方式のサービスを停止した。 - クレカ基盤への不正アクセス問題 自治体EC・映画予約サイトなど、安全のため決済機能停止
メタップスペイメントのクレジットカード決済基盤が不正アクセスを受けた問題で、複数のサービスがクレジットカード決済機能を停止する事態になっている。情報漏えいの有無は現在調査中。 - 人気コスメ「THREE」「アンプリチュード」に不正アクセス クレカ情報、最大10万件流出の可能性
ACROは24日、化粧品ブランド「THREE」と「Amplitude」(アンプリチュード)の公式オンラインショップが第三者による不正アクセスを受け、合わせて10万3935件のクレジットカード情報が漏えいした可能性があると発表した。 - 東大、入試草稿・個人情報入りUSBを紛失 データの悪用は「確認されていない」
東京大学の教員が、2022年度学士入学試験問題の草稿や入学希望者の個人情報が入ったUSBメモリを紛失した。草稿はすでに破棄。個人情報についても悪用は確認されていないという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.