セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く

メタップスペイメントで、データの保存が認められていないセキュリティコードを含むカード情報が流出した可能性がある。保存してはいけないはずのデータがなぜ流出したのか、メタップスペイメントに聞いた。

[谷井将人，ITmedia]

　クレジットカード決済基盤を提供するメタップスペイメント（東京都港区）で、セキュリティコードを含むカード情報が流出した可能性のある問題に関して、ネットで「保存してはいけないはずのデータを保存していたのか？」との疑問が挙がっている。流出の経緯についてメタップスペイメントに聞いた。

流出した可能性がある情報

　クレジットカード業界向けの情報セキュリティ基準「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている。

　メタップスペイメントでは「承認処理の際、データベースにセキュリティコードを短期間保持していた」という。攻撃者は、システム侵入時の直前に決済で使われた暗号化されたセキュリティコードを取得できる状態にあったとみられる。メタップスペイメントによれば、保持期間は非公開だが「長期間保存していた事実はない」としている。

「データはシステム内を流れていたが、保管や保存はしていない」（メタップスペイメント）ため、実際に流出した情報を特定できないという

　今回の不正アクセスで同社は、データベースを不正操作する「SQLインジェクション」やバックドアの設置などの攻撃を受けていた。そもそも同社ではどのような情報セキュリティ対策を取っていたのか。

　一つはPCI DSS認証の取得だ。開発・運用するシステムがPCI DSS基準に準拠しているか調査し、問題が無ければ取得できる。審査方法は、PCI国際協議会が認定した審査機関による「訪問審査」、調査ツールによって脆弱性を調べる「サイトスキャン」、チェックリストを使った「自己問診」がある。

　メタップスペイメントは訪問審査と、アプリケーション脆弱性診断を年に1回、ネットワーク脆弱性診断を四半期に1回実施していたという。

　同社は再度情報セキュリティ対策を施した上で、2カ月後をめどに再度PCI DSS審査を行う予定。

　不正アクセスの調査結果や総務省など関係省庁に提出した書類、メタップスペイメントの決済基盤を使っている企業・団体一覧などの公表予定はない。外部の専門家も含めた再発防止委員会では4月をめどに社内のガバナンス体制や組織体制、社員意識などについてとりまとめを行うとしている。