事故から学ぶ

ペイペイ加盟全260万店情報流出か 第三者がアクセス

事故概要

業種 スマートフォン決済
発生時期 2020/11/28
漏えい人数 2600000
事故概要

ペイペイ加盟全260万店情報流出か 第三者がアクセス
ソフトバンク系のスマートフォン決済「PayPay(ペイペイ)」は7日、第三者からのアクセスで、ペイペイで決済できる全加盟店約260万店の情報が流出した可能性があると発表した。ペイペイを使って買い物をする利用者の情報は、店舗情報とは別に管理されていて被害はないという。
第三者のアクセスが確認されたのは、加盟店に関する営業情報をまとめたデータベース。全加盟店の名前や住所、連絡先のほか、代表者名、振込先の口座番号、営業の対応履歴などが記載されていた。重複分も含めると、流出した可能性のある情報は、最大で約2007万件にのぼるという。ペイペイによると、現時点で、情報が悪用されたかは確認できていないという。
1日に同じソフトバンク系のヤフーから連絡を受け、社内でアクセス履歴を調査したところ、11月28日にブラジルからデータベースにアクセスされていたことを確認した。アクセス権限は本来、社内で店舗営業に関わる従業員のみに設定していたが、10月にサーバーの更新をした際にアクセス権限の変更を行った後、設定を元に戻さず、外部からもアクセスできる状態になっていたという。

引用元 朝日新聞

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

1. 決済サービスへの不正アクセス 全加盟店のデータ流出へ

PayPay株式会社は自社システムが不正アクセスの被害を受けたことを発表した。
最大で2007万件の個人情報が流出した可能性があるとのことだ。

今回流出対象となったのは加盟店側のデータだ。
加盟店データベースの設定に不備があり、加盟店代表者の名前や住所、口座情報などが流出した。

設定の不備とのことで、防ぐことの出来た事故といえる。
今一度、自社でも設定の見直しをすべきである。

具体例:

アクセス権限の設定ミスで、外部からアクセス可能になっていた、という今回のケースは、突っ込みどころがたくさんあるが、システムの安全管理がなっていない、という評価になる。
システム防御は内部設定が完全な状態で機能するので、設定ミスのままサイトを運用していたシステム担当部署は零点である。仕事をしていない最低評価である。「しかたがないね」ではなく、最低評価、零点評価を責任者自ら社内に発表し、社員に詫びて、そこから再発防止策を作り直す、システム組織を作りなおす行動にでることだ。「今度は気をつけようね」という再発防止策はない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。