2022年2月28日、メタップスペイメントは決済情報などが格納されたデータベースへ不正アクセスが行われクレジットカードを含む情報流出が判明したと公表しました。ここでは関連する情報をまとめます。 複合的な攻撃を半年間受ける 不正利用懸念ありと連絡を受けたのはメタップスペイメントのイベントペイで2021年12月17日にクレジットカード決済を停止。さらに会費ペイを含む3サイトは2022年1月5日までにクレジットカードの新規決済を停止。その後2022年1月24日にバックドアの存在が確認されたことから、トークン方式のクレジット決済サービスを全て停止した。 攻撃を受けていたのは2021年8月2日から2022年1月25日の約6カ月。2021年12月14日にクレジットカード会社から連絡受領しその後調査するも自社での原因特定ができず外部機関でフォレンジック調査を実施。 不正アクセスはメタップスペイメントの決
経済産業省は、本日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント(法人番号9011101027550)に対し、同法第35条の17の規定に基づく改善命令を発出しました。 1.事業者の概要 (1)名称:株式会社メタップスペイメント(以下「同社」という。) (2)代表者:代表取締役 和田 洋一 (3)所在地:東京都港区港南二丁目16番1号 品川イーストワンタワー7階 (4)事業内容:決済代行業等 2.処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売
クレジットカード基盤を提供するメタップスペイメント(東京都港区)が不正アクセスを受け、カード情報最大46万件が流出した可能性のある問題に関連して、2月28日、AKB48グループや日本赤十字社、チケットサイトなどが、「情報流出の可能性がある」としてユーザーに対して謝罪した。 28日までに謝罪のプレスリリースを公開したのは、AKB48グループチケットセンター、福山市スポーツ協会(広島県)、日本赤十字社、謎解き脱出ゲーム企画の「SCRAP」(東京都渋谷区)、神奈川県作業療法学会、映画館「KBCシネマ」(福岡市)、映像制作などを手掛ける「デジタルSKIPステーション」(埼玉県川口市)、映画館「CINEMA CITY」など。 これらの企業や団体は、メタップスペイメントのクレジット決済サービス「トークン方式」や「イベントペイ」「会費ペイ」などを利用してチケット代や会費、寄付金の受け取りなどを行っていた
経済産業省は6月30日、不正アクセスやSQLインジェクション、バックドア設置などの攻撃を受けクレジットカード情報を流出させたとして、クレジットカード決済システムを提供するメタップスペイメント(東京都港区)に行政指導したと発表した。同社は情報セキュリティの監査において、脆弱性情報やシステム変更の事実を適切に共有していなかったことが分かった。 関連記事:メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる 経済産業省は、カード情報の適切な管理に必要な措置として、速やかな再発防止策の実施、情報漏えい対策の実施状況の確認、内部監査機能の強化と作業の属人化の解消、抜本的な運営体制の再構築、経営責任の明確化などを求めた。 メタップスペイメントは2021年10月から22年1月にかけて、カード情報管理システムへの不正ログイ
2021年秋には、対応SaaS数が100を超えた。さらに、複数のSaaSにメタップスクラウドを通じてログインできるシングルサインオン機能も提供することで、企業のセキュリティニーズにも応える。 こうしたSaaSのスペシャリストでもある同社は、どんなSaaSを使っているのだろうか? 関連記事 急成長スタートアップはどのSaaSを使っている?:LegalForce編 昨今、バックオフィスにおけるSaaSの導入が盛んだ。急成長スタートアップは、どんなバックオフィスSaaSを導入し、どう活用しているのか。第1回は、自身も法務向けSaaSを提供するLegalForceに聞いた。 急成長スタートアップはどんなSaaSを使ってる?:アンドパッド編 急成長スタートアップは、どんなバックオフィスSaaSを導入し、どう活用しているのか。第1回のLegalForceに続き、第2回は建設業界のDXを推進するアンドパ
2022年1月25日 各位 株式会社メタップスペイメント 不正アクセスに関するご報告とお詫び この度、弊社が運営するクレジットカード決済システム「トークン方式」へのデータベースに不正アクセスが確認され、情報が流出した可能性のある事が判明しました。既に第三者調査機関による調査は開始しておりますが、現時点においては、不正アクセスの原因及び情報流出の内容・規模等の解明に至っておりません。 お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 1. 不正アクセスの状況と一部決済サービスの停止について 弊社決済センター内にある一部アプリケーションに潜在していた脆弱性を侵入経路として、同システム環境下にあるクレジット決済サービス「トークン方式」のデータベースに格納されている一部情報にアクセスされ、情報流出の可能性が高い事象が判明しました。
経済産業省は、本日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント(法人番号9011101027550)に対し、同法第35条の17の規定に基づく改善命令を発出しました。 1.事業者の概要 (1)名称:株式会社メタップスペイメント(以下「同社」という。) (2)代表者:代表取締役 和田 洋一 (3)所在地:東京都港区港南二丁目16番1号 品川イーストワンタワー7階 (4)事業内容:決済代行業等 2.処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売
クレジットカードの決済システムに「脆弱性がない」と報告書を改ざんし、経済産業省から行政処分を受けたメタップスペイメント(東京都港区)が7月1日、公式Webサイトで謝罪文を公表した。「お客様ならびに関係者の皆様には、多大なご心配とご迷惑をおかけしましたことを深くおわび申し上げます」としている。 クレジットカード基盤を提供する同社は2022年2月28日、決済システム内のアプリケーションの脆弱性を利用した第三者による不正アクセスを受けて最大約46万件のカード情報が流出した可能性があると発表。同社は同1月25日までに、クレジット決済サービス「トークン方式」「イベントペイ」「会費ペイ」の提供を停止し、利用していた企業や団体の一部は決済手段を失う事態に陥った。 経産省によると、同社は18~21年、システム診断ツールで「脆弱性が高い」との結果が出ていたにも関わらず、脆弱性がなかったかのように報告書を改ざ
2022年07月01日 各位 株式会社メタップスペイメント 代表取締役社長 和田洋一 行政処分に関するお知らせ 当社は、2022年6月30日付けで、割賦販売法(以下「法」といいます。)第35条の17の規定に基づき、経済産業省より行政処分(改善命令)を受けましたのでお知らせいたします。 お客様ならびに関係者の皆様には、多大なご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。 当社は、このたびの行政処分を真摯かつ厳粛に受け止め、改善命令に係る改善措置を速やかに講じて参る所存でございます。 処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決
2022年11月29日 各位 株式会社メタップスペイメント 不正アクセスインシデントに関する対応の進捗状況について 2022年7月1日付「不正アクセスによる情報流出に関する対応状況について」につき、現時点の進捗をお知らせいたします。 1. システム面への対応 クレジットカード決済にかかるシステムについては、技術的安全性の確保を最優先に掲げ、各種対応を進めており、以下のとおり、一定のめどが立っております。 認定審査機関のアセスメントにより、ネット決済システム及びフロントシステム(※1)に関して、PCIDSS Ver 3.2.1へ順次準拠しております(※2)。 また、システムの安全性を維持継続できる運用体制構築に関する諸施策について、年内には完了する予定です。 なお、昨今の環境を鑑みるに、今後は、現時点よりさらに高度な安全確保が必要になってくると痛感するところ、決して本件への反省を風化させるこ
不正アクセスでカード情報46万人の流出が発生したメタップスペイメントが6月30日、経済産業省より行政処分(改善命令)を受けた。PCIDSSで求められているサーバーを対象としたネットワーク脆弱性スキャンをスキャンツールを用いて委託先で実施し「High」レベルの脆弱性が複数検出されていたにもかかわらず脆弱性なしと改竄して報告し、適切な対応しなかった結果不正アクセスの影響で流出に至ったとのこと(経済産業省、ITmedia)。 また、「会費ペイ」に係るシステムについては令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについてはPCIDSSに準拠していないとのこと。 クレジットカードに関わった者としては身につまされる思いではあるが、あまりにも杜撰すぎて呆れて物も言えない。 この業界に今現在関わっているスラド諸氏も気をつけていただきたい。 行政指導ではクレジットカードのデー
不正アクセスで決済サービス停止中のメタップスペイメント、1月31日より順次再開 | ScanNetSecurity
株式会社メタップスペイメントは1月31日、不正アクセスインシデントへの対応のために一部停止中の決済サービスの再開について発表した。 メタップスペイメントの「会費ペイ」「イベントペイ」を利用する団体では2021年末から2022年1月にかけて、不正アクセスによるサービス停止について発表しており、メタップスペイメントでも1月25日に、不正アクセスによるクレジットカード情報をはじめとする個人情報の流出について公表するとともに、同社判断で決済サービスを停止していた。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メタップスペイメントの情報流出についてまとめてみた - piyolog
クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省)
クレカ情報流出の恐れで謝罪企業続々 AKB、公共施設、赤十字、チケットサイトなど メタップス不正アクセス問題
脆弱性情報を隠匿、被害後の原因調査もなし…… クレカ情報漏えいのメタップス子会社に行政指導
マザーズ上場企業はどのSaaSを使っている?:メタップス編
不正アクセスに関するご報告とお詫び | 株式会社メタップスペイメント
クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省)
「脆弱性なし」と改ざんし行政処分 クレカ情報46万件流出のメタップスが謝罪
行政処分に関するお知らせ | 株式会社メタップスペイメント
不正アクセスインシデントに関する対応の進捗状況について | 株式会社メタップスペイメント
大規模なクレカ情報流出事故を起こしたメタップスペイメント、行政指導処分に | スラド セキュリティ