メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。 流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。 同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベー
お金を学べるおすすめ本30
「働いても働いてもお金がたまらない」 「将来の年金は危なそうだけど、きちんと暮らしていけるの?」 こう思ったことはありませんか?かつての私もそうでした。 収入が増えたとしても、同じ様に支出も増えていきました。 このまま結婚したり、子どもを持ったり、家を買ったり、自分の親と同じような人生を歩むにはお金が足りないんじゃないかと不安に思っていたものです。 なぜなのかと自分で考えても、中々答えは見つかりません。たどり着いたのは 「そもそもお金の事って、分かっているようで全然分からない」 という事でした。 考えてみれば当たり前のことです。学校では、将来お金を稼ぐために、仕事につくための知識や一般教養は教えてくれますが、お金そのものにまつわる知識は教えてくれないからです。 また家庭でもお金に関する話はタブーだったりして、私たちの多くが大学生になったり、遅ければ社会人になって初めてお金について考えなけれ
株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。 第三者委員会調査報告書(公表版) クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省) 本稿では、主に第三者委員会の調査報告書(以下「報告書」と表記)をベースとして、この事件の攻撃の様子を説明します。 システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。 図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。 サーバ名概要 A社アプリ一般社団法人A 会員向け申込みフォーム 経産省改善命令では、「同社とコンビニ決済に係る契約を締結してい
2022年2月28日、メタップスペイメントは決済情報などが格納されたデータベースへ不正アクセスが行われクレジットカードを含む情報流出が判明したと公表しました。ここでは関連する情報をまとめます。 複合的な攻撃を半年間受ける 不正利用懸念ありと連絡を受けたのはメタップスペイメントのイベントペイで2021年12月17日にクレジットカード決済を停止。さらに会費ペイを含む3サイトは2022年1月5日までにクレジットカードの新規決済を停止。その後2022年1月24日にバックドアの存在が確認されたことから、トークン方式のクレジット決済サービスを全て停止した。 攻撃を受けていたのは2021年8月2日から2022年1月25日の約6カ月。2021年12月14日にクレジットカード会社から連絡受領しその後調査するも自社での原因特定ができず外部機関でフォレンジック調査を実施。 不正アクセスはメタップスペイメントの決
課題 数年前と比較すると、GKEやECSを始めとするコンテナ実行環境でのアプリケーション運用を行うサービスはかなり増えてきた印象があります。 コンテナを運用する上では、アプリケーションのイベントを追跡する上でログをどう扱うかが課題になります。今までのように古いログを定期的にローテートして別のストレージに転送するといった手法はクラウドネイティブなアーキテクチャには最適とは言えません。 アプリケーション開発の方法論として、Twelve Factor App ではログをイベントストリームとして扱うためのガイドラインが示されていますが、近年のWebアプリケーションではシステムを疎結合に連携するマイクロサービスという考え方が主流になりつつあります。 アプリケーションログはサービスごとにフォーマットを整形した上で、ログ収集サービスに配送。必要に応じてリアルタイム分析や異常データの通知、そしてデータの可
米グーグルが日本で金融事業に本格参入することが8日までにわかった。国内のスマートフォン決済会社を200億円超で買収し、インドや米国に続き日本でも2022年をめどに自社グループで送金・決済サービスを始めるもようだ。巨大IT(情報技術)企業の参入で金融と異業種の合従連衡が一段と加速する。グーグルが買収するのはスタートアップ企業のpring(プリン、東京・港)。17年に決済代行のメタップスや、みずほ
ではなぜシャドーITを利用するのか。理由のトップは「利用することで生産性の向上が見込めるから」(41.7%)だった。2位に「特に問題はないと思った」、3位に「会社で利用しているサービスが非効率だから」と続いた。 具体的にどんなサービスをシャドーITとして利用しているかを尋ねたところ、コミュニケーションツールやクラウドストレージ、翻訳ツールなどが挙がった。 仕事を進める上で重視するのは「生産性」か「安全性」か シャドーITを生産性のために利用するビジネスパーソンがいる一方で、7割以上が「生産性よりも安全性を重視する」としている。その理由は「安全が侵されると、結果的に生産性が落ちるから」「万一のことを考えた場合責任が取れない」といったものだった。 一方で、「安全性よりも生産性を重視する」と答えた3割に理由を聞くと、「安全性を求めすぎると生産性が失われる」「生産性が弊社では評価基準」「生産性を上
メタップス、クレカ情報最大46万件漏洩事件で脆弱性診断の改ざんまでバレた子会社に業務改善命令 : 市況かぶ全力2階建
詐欺広告シェア4割のMeta(旧Facebook)、被害対策として実質ゼロ回答のお気持ちを仰々しく表明 読売テレビ、自称化学者の村木風海さんをテレビ出演させて「大学教授5人から研究成果を持っていかれそうになった」との主張をそのまま垂れ流してしまう
熊本県立大学は12月13日、同学名誉教授のメールアカウントが不正ログインされ、個人情報が漏えいした可能性があると明らかにした。名誉教授は例外的に2要素認証を免除されていた上、他サイトでも使っている短いパスワードを設定していたという。 事実が判明したのは7日。名誉教授のメールアカウントに海外から8月30日以降で約1000件の不正ログインがあったと分かった。漏えいした可能性があるのは、教職員や学生などの氏名やメールアドレスなど3537人分、教職員などの履歴書43人分、名誉教授のアドレス帳991人分、その他の人事資料など。 熊本県立大学は原則として2要素認証を求めているが、名誉教授はスマートフォンを持っていなかったため例外的に免除していた。使っていたパスワードは短く、他サイトでも使っていたもので、これらが不正ログインの原因になったとみている。 問題判明後は、パスワードの変更やウイルススキャン、警
家電量販店のエディオンは4月11日、同社グループが運用するサーバが不正アクセスを受け、8万件近いデータが削除されたと発表した。データが流出した可能性もあるとして原因の調査を行う。 不正アクセスを確認したのは8日正午ごろ。同社グループのHampstead(東京都品川区)から「サーバ内に保管していた情報が削除された」との報告を受けたという。対象データは7万7656件。エアコンなどの配送設置作業の際に取得した氏名や住所、電話番号などの情報や、荷物受け取り時のサイン画像、写真など。クレジットカード情報は含まれない。 攻撃を受けたのは配送管理システムを運用するサーバ。すでに情報セキュリティ対策を施したとしている。エディオンは外部の有識者とともに対策チームを設置し、個人情報の取り扱いについて管理体制の厳重化を徹底する。 関連記事 メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリテ
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)で、セキュリティコードを含むカード情報が流出した可能性のある問題に関して、ネットで「保存してはいけないはずのデータを保存していたのか?」との疑問が挙がっている。流出の経緯についてメタップスペイメントに聞いた。 クレジットカード業界向けの情報セキュリティ基準「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている。 メタップスペイメントでは「承認処理の際、データベースにセキュリティコードを短期間保持していた」という。攻撃者は、システム侵入時の直前に決済で使われた暗号化されたセキュリティコードを取得できる状態にあったとみられる。メタップスペイメントによれば、保持期間は非公開だが「長期間保存していた事実はない」としている。 今回の不正アクセ
全員に管理者権限、パスワードは全部共通、脆弱性は放置…… ランサム攻撃受けた大阪急性期・総合医療センターのずさんな体制
2022年10月末にサイバー攻撃を受けたことで話題になった大阪急性期・総合医療センターが3月28日に、同件の調査報告書を公開した。調査によると、同センターではユーザー全てに管理者権限を付与していた他、数あるサーバやPCなどで共通のIDとパスワードを使用しており、侵入経路となったVPN機器は脆弱性が放置されているなどずさんな管理体制だったことが分かった。 問題が発生したのは22年10月31日。電子カルテシステムを稼働させていた基幹システムサーバがランサムウェアで暗号化され診療を制限することになった。完全復旧したのは23年1月11日。被害額は調査と復旧で数億円。診療制限で十数億円に及ぶという。 攻撃者は同センターが患者給食業務を委託している業者経由でシステムに侵入したとみられる。給食事業者に設置されていたVPN機器は脆弱性が放置されていたため、侵入経路になったという。 攻撃者は給食事業社のシス
クレジットカード基盤を提供するメタップスペイメント(東京都港区)が不正アクセスを受け、カード情報最大46万件が流出した可能性のある問題に関連して、2月28日、AKB48グループや日本赤十字社、チケットサイトなどが、「情報流出の可能性がある」としてユーザーに対して謝罪した。 28日までに謝罪のプレスリリースを公開したのは、AKB48グループチケットセンター、福山市スポーツ協会(広島県)、日本赤十字社、謎解き脱出ゲーム企画の「SCRAP」(東京都渋谷区)、神奈川県作業療法学会、映画館「KBCシネマ」(福岡市)、映像制作などを手掛ける「デジタルSKIPステーション」(埼玉県川口市)、映画館「CINEMA CITY」など。 これらの企業や団体は、メタップスペイメントのクレジット決済サービス「トークン方式」や「イベントペイ」「会費ペイ」などを利用してチケット代や会費、寄付金の受け取りなどを行っていた
国内最大規模の医療データベースを扱う開発本部が徹底する“守り”と“攻め”のハイブリッド環境 - JMDC TECH BLOG
JMDCのCTO 兼 開発本部長の小森谷です。 今回は、JMDC開発本部の事業内容や技術スタック、開発体制についてお伝えしていきます。特に、技術スタックに関しては、医療分野の特殊なビッグデータを扱っていることから、当社ならではのインフラや開発環境を構築しているのが特徴です。 小森谷 一生(こもりや かずなり)株式会社JMDC CTO 開発本部長 営業・SIerを経験した後、Web系エンジニアへ転向。livedoor社およびGREE社において大規模コンシューマー向けサービスの中で基盤開発から事業KPIの推進など幅広い業務とエンジニアチームのマネジメントに従事。その後、メタップス社にて執行役員としてデータ統合管理や開発組織構築を経験。2018年にJMDCに参画し、2021年より現職。 医療システムの最適化を目指して 1000万人のレセプトデータが最大の強み JMDCは「データとICTの力で、持
埼玉大学は2月9日、業務で使っているNASが不正アクセスされ、ランサムウェアによりデータが改変される被害に遭ったと明かした。ネットワーク設定に不備があった上、NASのパスワードが破られたのが原因としている。 不正アクセスがあったのは2022年6月7日。午前8時ごろにネットワークアクセス制限の設定を変更したところ、設定不備が発生し、外部からNASにアクセスできるようになった。同日正午ごろになると外部からのログイン試行が繰り返され、NAS2台のパスワードが破られたという。攻撃者は侵入したNAS経由で他のNAS4台にも不正アクセスし、データを改変した。 埼玉大学は午後3時ごろに異常を確認し外部からのアクセスを遮断。学内の担当者が調査やデータ復旧作業、学内にある全NASの点検や設定見直しなどの対応をとった。 同学は「本件の発生を厳粛に受けとめ、情報管理体制の強化と再発防止に取り組んでまいります」と
メタップス、テクノロジーで世界を解き放つはずがクレカ情報最大46万件を世界に解き放ってしまいお詫び : 市況かぶ全力2階建
自社株を担保に借金しているENECHANGE(エネチェンジ)筆頭株主兼社長の城口洋平さん、粉飾決算疑惑による株価下落で追証を喰らい保有株の一部が強制決済される
メタップスペイメントの不正アクセス問題に関連して、日本赤十字社は2月28日、2021年10月14日から22年1月25日までに寄付の決済に利用されたクレジットカードの情報が、最大で5283件流出した可能性があると発表した。 流出した可能性があるのはクレジットカードのカード番号、有効期限、セキュリティコード。対象期間中に日本赤十字社で寄付金を支払ったユーザーには、利用明細に不正利用の痕跡がないか確認し、不審な点があればカード会社に問い合わせるよう案内している。 メタップスペイメントは、クレジットカード番号の変更が必要な場合も再発行手数料がかからないようカード会社に依頼。流出したカード情報による取引をモニタリングして不正利用の防止を図っている。 メタップスペイメントは1月25日に第1報を発表。2月28日に、データベースを不正操作するSQLインジェクションやバックドア(抜け道)設置などのサイバー攻
メタップスは10月5日、メールのアドレスと件名情報を使い、社内で利用中のSaaSを一斉に抽出できるサービスの提供を始めた。社員が無許可で利用しているSaaS、いわゆるシャドーITを洗い出すことができる。料金は無料。 シャドーITは、無駄なコストの支払いや情報漏えいにつながることから、対策が急務になってきている。その対策の入口として、誰がどのSaaSを利用しているかを一覧化することで、ヒアリングやアンケート調査をすることなく、棚卸しを効率化できる。 登録したSaaSから社員宛に日々送られてくるメールのログを機械学習させることで、利用しているSaaSのリストを自動的に生成する。利用する情報は、社員のメールアドレスと送信元のメールアドレス、件名のみ。 メタップスではSaaS一覧リストから、どれがシャドーITかどうかを検知する「シャドーIT機能」をクローズドなβ版として無料提供している。このシャド
世界が注目する「メタバース」で、日本企業は独自の存在感を見せることができるか(徳力基彦) - エキスパート - Yahoo!ニュース
この2ヶ月間、ネット業界で流行語大賞のように急に話題になっているのが「メタバース」というキーワードです。 「メタバース」とは、最近ネット上で注目されている仮想空間や仮想世界を提供するサービスを総称する言葉として使われ始めているキーワードで、昨年ぐらいから徐々に使われるようになっていた業界用語でした。 それが、7月末にFacebookのザッカーバーグCEOが「メタバース」企業を目指すと宣言したことで、一気に言葉の認知度がアップ。 様々な企業が、「メタバース」への参入を明言しているのです。 「メタバース」という言葉は聞いたことがなくとも、7月に公開された映画「竜とそばかすの姫」や、細田監督の過去作「サマーウォーズ」が描いているのがまさにメタバース的世界、と言えば世界観がイメージできる方は少なくないのではないかと思います。 ここで日本人として気になるのは、この「メタバース」において日本企業は存在
メタップスペイメントの不正アクセス問題に関連して、日本生命保険は2月28日、19人分のユーザー情報の漏えいを確認した他、最大で約1万5000人分のクレジットカード情報が流出した可能性があると発表した。日本生命は未払込保険料などをオンラインで払い込むサービスにメタップスペイメントの決済基盤を利用している。 流出したのは、2021年5月6日から22年1月25日までの期間に払い込みサービスを利用したユーザー19人分の氏名とカード番号、有効期限。流出した可能性があるのは、21年10月14日から22年1月25日までの期間に同様の手続きを行ったユーザー最大1万4710人分のカード番号、有効期限、セキュリティコード。 メタップスペイメントは1月25日までに、不正アクセス、データベースを不正操作する「SQLインジェクション」、バックドアの設置などのサイバー攻撃を受け、カード決済サービスを停止。これに伴い、
米グーグルが日本のスマートフォン決済市場に本格参入することで、国内の勢力図が大きく変わる可能性がある。「PayPay(ペイペイ)」など大手は顧客獲得を優先した還元競争により依然として赤字だ。競争が激しくなれば収益化が遅れることになる。金融と異業種の垣根が一段と低くなるなか、大手金融機関も戦略の再考を迫られる。グーグルは、決済代行のメタップスや、みずほ銀行などpring(プリン、東京・港)の既存
Googleがメタップス傘下のpring買収へ、日本での資金移動業免許が目的か : 市況かぶ全力2階建
日経平均、約束された「おはぎゃあ」と底割れの危機を日本屈指の天才曲がり屋がホワイトマンデーに一変させる
エストニア軍のネットワークエンジニア→日本のIT企業に とある外国人エンジニアに聞く“お国柄の違い”:外国人エンジニアに聞く「あなたは何しに日本へ」(1/2 ページ) 令和は多様性の時代。IT業界でもさまざまな人が働いている。海外から来たITエンジニアなどもその一例だ。とはいえ、いざ外国人エンジニアと一緒に働くとなると、コミュニケーションが難しいと感じる人もいるかもしれない。 そこで本連載では、実際に日本で働くITエンジニアの人たちにインタビュー。日本に来た理由や、日本で働くことの印象などを聞いていく。第4回となる今回は、IT先進国として知られるエストニアの軍隊でネットワークエンジニアとして働いた経験を持ち、現在はメタップスホールディングスで働くマルコ・ポップさんに話を聞いた。 あなたはどうして日本に? ──自己紹介をお願いします。 マルコさん(以下敬称略) マルコ・ポップです。2019年
決済事業者メタップスペイメント(東京都港区)は1月25日、同社のクレジットカード決済システムのデータベースに不正アクセスがあり、情報が流出した可能性があると発表した。不正アクセスの原因や流出の内容は調査中。安全のためクレジットカード決済のサービスを停止した。 同社は2021年12月14日、クレジットカード会社からイベント主催者向けサービス「イベントペイ」で不正利用が疑われる決済があったと連絡を受け、16日にはイベントペイのクレジットカード決済機能を停止。17日には第三者機関による調査を始めた。22年1月21日に情報流出の可能性が高まったため、25日にクレジットカード決済サービスを全面停止した。
米グーグルがスマートフォン決済のpring(プリン、東京・港)を買収し、日本でも送金・決済事業に参入する。IT(情報技術)企業のメタップスなどプリンの既存株主は13日、グーグルへの株式売却を正式に発表した。米国の巨大IT企業の目にとまったのは、決済事業者やIT業界の外ではほぼ無名だった社員12人の国産スタートアップだ。プリンは2017年5月、決済代行事業などを手がけるメタップスの子会社として設
商品の出荷も一時停止。すでに注文手続きが済んだ商品の出荷は2日以降に再開する見込みという。急ぎのユーザーに対しては、店頭での購入を検討するよう呼び掛けている。 関連記事 クレカ情報流出の恐れで謝罪企業続々 AKB、公共施設、赤十字、チケットサイトなど メタップス不正アクセス問題 メタップスペイメントが不正アクセスを受け、カード情報最大46万件が流出した可能性のある問題に関連して、AKB48グループや公共施設、日本赤十字社、チケットサイトなどが、「情報流出の可能性がある」としてユーザーに対して謝罪した。 トヨタ、稼働停止中の国内工場を2日から再開へ 仕入先企業へのサイバー攻撃を受け トヨタ自動車は、稼働を休止していた国内全14工場28ラインを2日の1直から全ての稼働を再開する。仕入先である小島プレス工業で発生したシステム障害の影響を受け、1日の国内全工場の稼働を停止している。 メタップス、不
印刷業のキンコーズ・ジャパンは7月4日、同社が運用するサーバが不正アクセスを受け、利用者の個人情報が流出した可能性があるとして謝罪した。対象の情報は2438件。そのうち名前や住所などの個人情報が含まれる可能性があるものは1741件とみられる。 対象となるのは2017年1月1日から22年4月26日の間に、九州・中四国地方以外の店舗か公式Webサイトで名刺や年賀状、チラシなどの印刷を注文したユーザーの印字内容。19年4月1日から22年4月26日の間の注文では、印刷内容として名刺や年賀状に書かれた氏名や電話番号、住所などの個人情報が含まれる可能性がある。クレジットカード情報などの支払い情報は保有していないとしている。 別件でのシステム調査の中で不正アクセスの形跡を6月24日に発見。同社はサーバへのアクセス制限などを実施したうえで、個人情報保護委員会や対象ユーザーへの報告、情報流出の調査などをすで
米グーグルは22日までに、スマートフォンの送金・決済アプリを展開する新興の資金移動業者「pring(プリン)」(東京)の買収を完了した。買収額や今後の事業戦略は明かしていないが、日本での金融事業の拡大を目指しているとみられる。 グーグルは7月、IT企業のメタップス(東京)などからプリンの全株式を取得すると公表。8月下旬までに買収手続きを完了する見通しとしていた。市場支配力が懸念される巨大ITによる買収案件だったため、規制当局が慎重に審査したとみられる。 ITを活用した新たな金融サービスを巡る海外勢の積極的な買収戦略で、競争が一段と激しくなりそうだ。
名古屋大学は6月28日、情報システムに関する質問を受け付けるシステムが不正アクセスを受け、メールアドレス2086件が漏えいした可能性があると明らかにした。攻撃対象サーバの挙動を分析して内部情報を探る「ブラインドSQLインジェクション」を受けたとしている。 攻撃があったのは5月10、14、15日。システム内部には、質問者の連絡先メールアドレスが保存されていたが、悪用は確認されていないとしている。 データベースを不正に操作するSQLインジェクション攻撃の中でも、データベースの応答時間やステータスから間接的に情報を収集するブラインドSQLインジェクションという攻撃手法で不正アクセスされたとしている。脆弱性は修正済み。 今後は、WAF(Webアプリケーション用ファイアウォール)の導入を検討するとともに、サーバ管理や情報セキュリティに関する教育研修を強化して意識向上を図るとしている。 関連記事 矢野
調査会社の矢野経済研究所は6月24日、同社のWebサイトに不正アクセスを受け、メールアドレスなど最大10万1988件が漏えいした可能性があると発表した。データベースを不正操作する「SQLインジェクション」を受けたという。 不正アクセスがあったのは「www.yano.co.jp」と「www.yanoresearch.com」のサーバ。漏えいした可能性があるのは、会員制サービス「YRI WEBメンバー」「YDB会員」のメールアドレスと、暗号化した状態のパスワード。漏えいした情報の悪用は確認していない。調査で得られた機密情報やクレジットカード情報などは、別のシステムで管理していることから漏えいしていないという。 同社は事態を受け、2つのサイトや関連するサイトを一時閉鎖。漏えいした可能性がある情報を使った不正ログインを防ぐとして、一部のパスワードを初期化した。Webサイトの閉鎖中、問い合わせや注文
メタップス、Googleがpring買収と無駄に煽られた結果そこそこの惨事に : 市況かぶ全力2階建
日経平均、約束された「おはぎゃあ」と底割れの危機を日本屈指の天才曲がり屋がホワイトマンデーに一変させる
電子書籍販売サイト「BOOK☆WALKER」を運営するブックウォーカー(東京都千代田区)は6月10日、同サービスのアカウントへの不正ログインがあったとして注意喚起した。他サービスなどから流出したメールアドレスやパスワードを使ったパスワードリスト型攻撃によるものとみられる。 被害の拡大を防ぐため、同社は電子書籍を購入して第三者に贈れる「ギフト購入」機能を停止。ユーザーには他サービスと同じアドレスとパスワードのセットを使いまわさないよう呼び掛けた。 個人情報などの流出やシステム障害などは起きていないとしている。身に覚えのない購入履歴があったユーザーには「お問い合わせフォーム」から知らせるよう案内している。 関連記事 「ブラザーオンライン」に不正ログイン 最大12万件の個人情報・40万円相当のポイント流出した可能性 ブラザー製品のユーザー向け会員制サイト「ブラザーオンライン」に不正ログイン被害。
決済代行会社のメタップスペイメントで大規模な情報漏洩が起きた。不正アクセスによって、最大約46万人分のクレジットカード情報が漏洩。カード利用者の氏名や電話番号、住所など個人情報も流出した。攻撃者は複数の手口を組み合わせてシステムに侵入。決済情報などを格納するデータベースから情報を盗み出した。 「関係する皆様方に多大なご迷惑をおかけしたことを、心よりおわび申し上げる」。決済代行会社のメタップスペイメントがサイバー攻撃によって最大46万件のクレジットカード情報などを漏洩させた問題で、同社の和田洋一社長は2022年2月28日、自社サイト上で謝罪した。 同社はEC(電子商取引)サイトの運営会社(加盟店)とカード会社など金融機関をつなぎ、クレジットカードや電子マネーなど様々な決済手段を加盟店に提供している。決済に伴う煩雑な業務を一括して請け負うことで、加盟店から手数料などを受け取る。 同社の設立は1
楽天銀行とのAPI連携を解除する──クラウド会計ソフト「freee会計」を提供するfreeeが1月24日に発表したこの方針は、ユーザーや周辺企業に波紋を呼んだ。Twitterではユーザーから「他のサービスに切り替える」といった声や「API利用料の値上げが原因か」といった臆測が見られた他、競合のマネーフォワードにも「楽天銀行との連携を解除するのか」といった問い合わせが相次いだという。 事態を受け、マネーフォワードは同日に楽天銀行とのAPI連携を解除しない方針を表明。ITmedia NEWSがマネーフォワードの山田一也CSOに詳細を聞いたところ「コストメリットも考慮しつつ、なるべくAPI連携を解除しない方針を取っている。今回もその方針に沿って判断した。ただ、今回の件で『API連携解除でこれまで通りサービスが使えなくなる』前例ができ、ユーザーに不安が生まれたのは残念」との回答が得られた。 さらに
悪用続く「Log4Shell」 対応放置の企業はランサムウェア感染など二次被害 「パッチ適用を怠れば、コストは増大」
悪用続く「Log4Shell」 対応放置の企業はランサムウェア感染など二次被害 「パッチ適用を怠れば、コストは増大」: この頃、セキュリティ界隈で Javaのログ出力ライブラリ「Apache Log4j」に存在する深刻な脆弱性「Log4Shell」が、いまだに悪用され続け、情報流出などの被害を発生させている。被害組織の中には複数の集団に侵入されたり、ランサムウェア感染の二次被害が発生したケースもあり、セキュリティ企業などが改めて注意を呼び掛けた。 Log4Shellが発覚したのは2021年12月。脆弱性が存在する製品は修正パッチが相次いで公開されたが、影響はあまりに広範に及んだ。社内のどのシステムがLog4jを使用しているか把握することさえ難しく、対応に手間を取られ、脆弱性が放置されたままになってしまった製品もあると思われる。 米国土安全保障省のサイバーセキュリティ機関CISAは6月23日
日清紡グループで紳士シャツの販売などを手掛ける東京シャツ(東京都台東区)は6月7日、同社が運営するECサイト「東京シャツ公式オーダーサイト」が不正アクセスを受け、セキュリティコードを含むクレジットカード情報など計2218人分が漏えいした可能性があると発表した。ECサイトの脆弱性を突かれ、利用していたWebアプリを改ざんされたという。 漏えいした可能性があるのは、(1)2019年4月2日から22年3月8日にかけ、ECサイトにクレジットカード情報を入力した人のカード番号、名義人、有効期限、セキュリティコード、IPアドレス、氏名、住所、メールアドレスなど991人分、(2)19年4月2日から22年5月26日にかけてECサイトに登録した人の氏名や生年月日など33人分、(3)21年10月1日から22年3月8日にかけて、東京シャツの店舗にあるタブレット端末からシャツを注文した人の氏名や住所、メールアドレ
フォースタートアップスは、成長産業領域に特化した情報プラットフォーム「STARTUP DB」において、2020年1月を対象とした「国内スタートアップ資金調達額ランキング」を発表した。2019年のランキングはこちら。 それによると、日本の製品を購入できる中国向けの越境ECサービスを手掛けるInagoraホールディングスが、総額53億円の調達に成功して首位となった。同社は資金調達と同時に、香港に拠点を置くコングロマリットであるCITICグループとの業務提携を発表。新たな中国人顧客の獲得と販売チャネルの拡大を図っている。さらに、スギ薬局との業務提携も実施。日本企業と中国消費者をつなげるBtoBtoC越境ECプラットフォームの拡大を進める予定だという。 メタップス創業者の佐藤航陽氏が代表を務めるタイムバンクも、39.5億円の大型調達を実施した。空き時間や余剰在庫を安価に提供するマーケットプレイスの
9月4日だけ、ロシアから大量のSQLインジェクション攻撃があった──WAF(Webアプリケーション用ファイアウォール)開発のサイバーセキュリティクラウドが13日、こんな観測結果を発表した。攻撃数は観測期間中の平均値の3倍に及んだ。 同社は8月1日から9月8日にかけて、同社製WAFなどで観測したサイバー攻撃を調査した。検知した攻撃の総数は約1047万件。4日には90万件近いSQLインジェクション攻撃を観測した。期間中、ロシアからSQLインジェクション攻撃があったのも4日のみ。ロシアからの攻撃件数は当日だけで20万件以上だった。 日本では8日ごろから、ロシアを支持するサイバー攻撃集団「KILLNET」によるものとみられるDDoS攻撃が相次いでいるが、関連は不明としている。 SQLインジェクションは外部からデータベースを不正に操作する攻撃手法。被害を受けると、個人情報などが漏えいする恐れがある。
オンライン寄付の決済サービス会社における情報流出に関する報告|日本赤十字社からのお知らせ|おしらせ・最新情報|日本赤十字社
この度、日本赤十字社(以下「当社」)への寄付の決済に利用しております決済サービス会社、株式会社メタップスペイメント(以下「メタップス社」)におきまして、メタップス社の決済情報データベースへの不正アクセスによる情報流出が発生いたしました。 メタップス社からの報告により、当社の寄付者の皆様の情報も、流出が懸念されることが判明いたしました。日頃より当社をご支援くださる皆様にご迷惑及びご心配をおかけする事態となり、深くお詫び申し上げます。 また、当社の寄付者の方への情報流出の有無や影響範囲などを含め、メタップス社及び第三者機関による調査結果を待ち、皆様への報告が遅くなりましたこと、重ねてお詫び申し上げます。 つきましては下記のとおり、概要の報告及び当件に対する対応をお知らせいたしますので、ご確認くださいますようお願い申し上げます。 記 1 発生事象の概要について メタップス社のクレジットカード決済
業界業務の経験豊富な「その道のプロ」に、1時間からピンポイントに相談できる日本最大級のスポットコンサル「ビザスク」。そのビザスク主催のセミナーに、ベストセラー「起業の科学」「起業大全」の著者であり、これまで約3,000社の新規事業開発・スタートアップ支援を手掛けた田所雅之氏が登壇。本記事では、新規事業で「ペルソナ」を立てないことのデメリットや、部分最適より「全体最適」を選ぶ時代の考え方、さらに顧客にインタビューをする際の大事なポイントなど、さまざまなトピックが語られました。 うまくいったスタートアップとそうでないスタートアップの違い 田所雅之氏(以下、田所):みなさんこんにちは。よろしくお願いします。ビザスクさんは海外のColemanさんを買収されて、46万人の登録者ってすごいですよね。まさに新規事業でビザスクがかなり使われるということだと思います。 「ググったらいいじゃないか」みたいな話
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
メタップスペイメントの情報流出についてまとめてみた - piyolog
コンテナ運用におけるログ基盤設計のベストプラクティス - Qiita
Google、日本で金融本格参入へ 国内スマホ決済買収 【イブニングスクープ】 - 日本経済新聞
会社が許可していない“シャドーIT” 大企業でも2割が利用
例外規定が不正ログインの一因に 熊本県立大が被害 2要素認証なしの名誉教授が狙われ
エディオングループに不正アクセス 約8万件のデータが消される 流出の可能性も
セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く
クレカ情報流出の恐れで謝罪企業続々 AKB、公共施設、赤十字、チケットサイトなど メタップス不正アクセス問題
「パスワード破られた」 埼玉大のNASで不正アクセス被害 ネットワーク設定ミス発生から数時間で侵入許す
日本赤十字社でクレカ情報最大約5000件流出の可能性 メタップス不正アクセスに巻き込まれ
メタップス、メールから社内のシャドーITを抽出する新サービス
日本生命でも最大約1.5万件のカード情報流出か メタップス不正アクセス問題の影響で
Googleのスマホ決済、PayPay・楽天ペイの脅威に - 日本経済新聞
エストニア軍のネットワークエンジニア→日本のIT企業に とある外国人エンジニアに聞く“お国柄の違い”
クレカ決済システムに不正アクセス受けサービス停止 メタップス「原因や流出内容は調査中」
Googleが買収「プリン」 社員12人決済スタートアップ - 日本経済新聞
ワコムのECサイトがサービス停止、物流パートナーにサイバー攻撃 個人情報の流出はなし
キンコーズのサーバに不正アクセス 名刺、チラシなど印刷内容2438件流出の恐れ
米グーグル、プリンの買収完了 送金アプリ、日本事業拡大へ | 共同通信
名古屋大学に不正アクセス 「ブラインドSQLインジェクション」攻撃でメアド2086件漏えいか
矢野経済研究所、Webサイト一時閉鎖 SQLインジェクション受けメールアドレスなど10万件以上漏えいか
「BOOK☆WALKER」で不正ログイン発生 パスワード変更、購入履歴確認など呼び掛け
メタップスペイメントのカード情報漏洩、トークン方式のデータが盗まれた経緯
マネフォが楽天銀行とのAPI連携を解除しなかったワケ 背景に隠れた「SaaSならでは」の戦略
日清紡Gでもセキュリティコードなどクレカ情報1000件漏えいか ECサイト改ざんで
人工合成クモ糸「Spiber」が7社目のユニコーンに--2020年1月の資金調達・時価総額ランキング
ロシアからのSQLインジェクションが急増 9月4日だけ平均の3倍
90%以上のスタートアップや新規事業で、できていないこと 成功を遠ざける、残念なベンチャーの「行動パターン」