メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。 流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。 同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベー
株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。 第三者委員会調査報告書(公表版) クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省) 本稿では、主に第三者委員会の調査報告書(以下「報告書」と表記)をベースとして、この事件の攻撃の様子を説明します。 システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。 図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。 サーバ名概要 A社アプリ一般社団法人A 会員向け申込みフォーム 経産省改善命令では、「同社とコンビニ決済に係る契約を締結してい
2022年2月28日、メタップスペイメントは決済情報などが格納されたデータベースへ不正アクセスが行われクレジットカードを含む情報流出が判明したと公表しました。ここでは関連する情報をまとめます。 複合的な攻撃を半年間受ける 不正利用懸念ありと連絡を受けたのはメタップスペイメントのイベントペイで2021年12月17日にクレジットカード決済を停止。さらに会費ペイを含む3サイトは2022年1月5日までにクレジットカードの新規決済を停止。その後2022年1月24日にバックドアの存在が確認されたことから、トークン方式のクレジット決済サービスを全て停止した。 攻撃を受けていたのは2021年8月2日から2022年1月25日の約6カ月。2021年12月14日にクレジットカード会社から連絡受領しその後調査するも自社での原因特定ができず外部機関でフォレンジック調査を実施。 不正アクセスはメタップスペイメントの決
経済産業省は、本日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント(法人番号9011101027550)に対し、同法第35条の17の規定に基づく改善命令を発出しました。 1.事業者の概要 (1)名称:株式会社メタップスペイメント(以下「同社」という。) (2)代表者:代表取締役 和田 洋一 (3)所在地:東京都港区港南二丁目16番1号 品川イーストワンタワー7階 (4)事業内容:決済代行業等 2.処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売
決済代行会社のメタップスペイメントで大規模な情報漏洩が起きた。不正アクセスによって、最大約46万人分のクレジットカード情報が漏洩。カード利用者の氏名や電話番号、住所など個人情報も流出した。攻撃者は複数の手口を組み合わせてシステムに侵入。決済情報などを格納するデータベースから情報を盗み出した。 「関係する皆様方に多大なご迷惑をおかけしたことを、心よりおわび申し上げる」。決済代行会社のメタップスペイメントがサイバー攻撃によって最大46万件のクレジットカード情報などを漏洩させた問題で、同社の和田洋一社長は2022年2月28日、自社サイト上で謝罪した。 同社はEC(電子商取引)サイトの運営会社(加盟店)とカード会社など金融機関をつなぎ、クレジットカードや電子マネーなど様々な決済手段を加盟店に提供している。決済に伴う煩雑な業務を一括して請け負うことで、加盟店から手数料などを受け取る。 同社の設立は1
経済産業省は6月30日、不正アクセスやSQLインジェクション、バックドア設置などの攻撃を受けクレジットカード情報を流出させたとして、クレジットカード決済システムを提供するメタップスペイメント(東京都港区)に行政指導したと発表した。同社は情報セキュリティの監査において、脆弱性情報やシステム変更の事実を適切に共有していなかったことが分かった。 関連記事:メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる 経済産業省は、カード情報の適切な管理に必要な措置として、速やかな再発防止策の実施、情報漏えい対策の実施状況の確認、内部監査機能の強化と作業の属人化の解消、抜本的な運営体制の再構築、経営責任の明確化などを求めた。 メタップスペイメントは2021年10月から22年1月にかけて、カード情報管理システムへの不正ログイ
不正アクセスで最大約46万件のクレジットカード情報を漏洩させた可能性があると2022年2月に発表した決済代行会社のメタップスペイメントに対し、経済産業省は6月30日付で割賦販売法に基づく改善命令を出した。サイバー攻撃の被害者である同社に行政処分を下すという異例の措置だ。 メタップスペイメントによれば、攻撃者は2021年8月ごろから複数の手口を組み合わせて同社の決済システムに繰り返し侵入していた。最終的に2021年10月14日から2022年1月25日の間に使われたカードの番号と有効期限、セキュリティーコードを窃取した可能性がある。 直接の原因はセキュリティー対策の不備だが、第三者委員会の調査ではシステムの脆弱性診断の結果を改ざんして監査機関に提出していたなど、驚くべき事実も発覚している。背景には、ITガバナンスの欠如や人材不足、社内ルールが形骸化しやすい組織風土などがある。こうした状況は多く
2021年秋には、対応SaaS数が100を超えた。さらに、複数のSaaSにメタップスクラウドを通じてログインできるシングルサインオン機能も提供することで、企業のセキュリティニーズにも応える。 こうしたSaaSのスペシャリストでもある同社は、どんなSaaSを使っているのだろうか? 関連記事 急成長スタートアップはどのSaaSを使っている?:LegalForce編 昨今、バックオフィスにおけるSaaSの導入が盛んだ。急成長スタートアップは、どんなバックオフィスSaaSを導入し、どう活用しているのか。第1回は、自身も法務向けSaaSを提供するLegalForceに聞いた。 急成長スタートアップはどんなSaaSを使ってる?:アンドパッド編 急成長スタートアップは、どんなバックオフィスSaaSを導入し、どう活用しているのか。第1回のLegalForceに続き、第2回は建設業界のDXを推進するアンドパ
2022年1月25日 各位 株式会社メタップスペイメント 不正アクセスに関するご報告とお詫び この度、弊社が運営するクレジットカード決済システム「トークン方式」へのデータベースに不正アクセスが確認され、情報が流出した可能性のある事が判明しました。既に第三者調査機関による調査は開始しておりますが、現時点においては、不正アクセスの原因及び情報流出の内容・規模等の解明に至っておりません。 お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 1. 不正アクセスの状況と一部決済サービスの停止について 弊社決済センター内にある一部アプリケーションに潜在していた脆弱性を侵入経路として、同システム環境下にあるクレジット決済サービス「トークン方式」のデータベースに格納されている一部情報にアクセスされ、情報流出の可能性が高い事象が判明しました。
経済産業省は、本日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント(法人番号9011101027550)に対し、同法第35条の17の規定に基づく改善命令を発出しました。 1.事業者の概要 (1)名称:株式会社メタップスペイメント(以下「同社」という。) (2)代表者:代表取締役 和田 洋一 (3)所在地:東京都港区港南二丁目16番1号 品川イーストワンタワー7階 (4)事業内容:決済代行業等 2.処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売
メタップスペイメントへの不正アクセス事件を考えてみた その1(セキュリティコード) - Fox on Security
決済代行会社のメタップスペイメント社から、ここ数年で最大のカード漏洩(国内)が発表されました。発表された内容を読むと下記の記事にある様に”やられ放題”と書かれても仕方が無い、基本セキュリティ対策の不備が含まれています。この不正アクセス事件について専門家の立場で考えてみます。 www.itmedia.co.jp 公式発表 ・不正アクセスによる情報流出に関するご報告とお詫び(2/28)[魚拓] ※第2報 ・不正アクセスに関するご報告とお詫び(1/25)[魚拓] ※第1報 2. 不正アクセスおよび流出情報について 今回は決済情報等が格納されている3つのデータベースに対し不正アクセスがあり、それぞれから情報が流出いたしました。 ① トークン方式クレジットカード決済情報データベース 2021年10月14日から2022年1月25日に利用されたクレジットカード番号数(括弧内は流出情報):460,395件
[PDF]株式会社メタップスペイメントに対する個人情報の保護に関する法律に基づく行政上の対応について / 2022年7月13日 個人情報保護委員会
News Release 株式会社メタップスペイメントに対する個人情報の保護に関する 法律に基づく行政上の対応について 令 和 4 年 7 月 13 日 個人情報保護委員会は、株式会社メタップスペイメントに対し、本日、個人情報 の保護に関する法律第 144 条に基づく指導を行いましたので、 お知らせいたします。 【連絡先】 個人情報保護委員会事務局 監視・監督室 電話:03-6457-9680(代) 株式会社メタップスペイメントに対する個人情報の保護に関する法律に 基づく行政上の対応について 令和4年7月 13 日 個人情報保護委員会 個人情報保護委員会は、株式会社メタップスペイメント(以下「MP社」と いう。 )に対し、令和4年7月 13 日に個人情報の保護に関する法律(以下「個 人情報保護法」という。 )第 144 条に基づく指導を行った。 個人情報保護法上の指導の原因となる事実及び指
PowerPoint プレゼンテーション
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. T O K Y O 2 0 1 9 . 1 0 . 0 3 - 0 4 マイクロサービスを支える インフラアーキテクチャ 株式会社メタップス 本社開発グループ SREシニアエンジニア 山北 尚道 G - 1 © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 会社概要 - 株式会社メタップス • 企業理念: テクノロジーでお金と経済のあり方を変える • 設立: 2007年9月 • 従業員数: 323人 (2019年9月末時点) © 2019, Amazon Web Services, Inc. or its affiliates. All right
決済代行サービスなどを手掛けるメタップスは25日、子会社のメタップスペイメント(東京・港)で利用者のクレジットカード情報の一部が不正アクセスにより流出した可能性があると発表した。メタップスペイメントはクレジット決済サービスの一部を安全が確認されるまで停止する。メタップスペイメントは、消費者が加盟店のウェブページ上でカード情報を入力し、暗号化してメタップス側にデータを送る「トークン方式」と呼ばれ
メタップスペイメントへの不正アクセスによりクレジットカード情報が流出した問題に便乗し、カード情報を盗もうとする詐欺メールやSMSが出回っているとして、ローソン銀行は3月2日、注意喚起した。 差出人はメタップスペイメントやクレジットカード会社、加盟店などを装い、「あなたのカードが不正に使用されています。至急カードを停止しますので、カード情報を教えてください!」などと情報の提出を求める。 ローソン銀行は「お客さまにメールやSMSでカード情報を伺ったり、情報入力を促すサイトに誘導することはない」という。疑わしいメールやSMSを受け取った場合は、ローソン銀行クレジットカードデスク(0570-063-899)に問い合わせるよう案内している。 メタップスペイメントは1月25日までに、不正アクセス、データベースを不正操作する「SQLインジェクション」、バックドアの設置などのサイバー攻撃を受けた。これによ
決済代行サービスなどを手掛けるメタップスは28日、子会社メタップスペイメント(東京・港)のシステムへの不正アクセスに関する最終報告書を発表した。同社加盟店で使われた最大46万件のカード番号や有効期限などが流出した可能性があると明らかにした。メタップスは電子商取引(EC)事業者などにカード決済のシステム導入を支援する。流通総額は年2000億~3000億円規模とみられる。何らかの方法で不正に入手さ
2022年07月01日 各位 株式会社メタップスペイメント 代表取締役社長 和田洋一 行政処分に関するお知らせ 当社は、2022年6月30日付けで、割賦販売法(以下「法」といいます。)第35条の17の規定に基づき、経済産業省より行政処分(改善命令)を受けましたのでお知らせいたします。 お客様ならびに関係者の皆様には、多大なご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。 当社は、このたびの行政処分を真摯かつ厳粛に受け止め、改善命令に係る改善措置を速やかに講じて参る所存でございます。 処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
メタップスペイメントの情報流出についてまとめてみた - piyolog
クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省)
メタップスペイメントのカード情報漏洩、トークン方式のデータが盗まれた経緯
脆弱性情報を隠匿、被害後の原因調査もなし…… クレカ情報漏えいのメタップス子会社に行政指導
クレカ情報大量漏洩にPCI DSS監査機関への虚偽報告、IT部門「聖域化」のリスク
マザーズ上場企業はどのSaaSを使っている?:メタップス編
不正アクセスに関するご報告とお詫び | 株式会社メタップスペイメント
クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省)
メタップス系、カード取引停止 不正アクセスで - 日本経済新聞
「クレカ情報が漏えい」とする詐欺に注意 メタップス不正アクセス問題に便乗
メタップス、クレカ情報最大46万件流出 不正アクセスで - 日本経済新聞
行政処分に関するお知らせ | 株式会社メタップスペイメント