事故から学ぶ

不正アクセスによる情報流出に関するご報告とお詫び メタップスペイメント

事故概要

業種 民間企業
発生時期 2022/1/15
漏えい人数 2415750
事故概要

2022年1月25日「不正アクセスに関するご報告とお詫び」にて、中間のご報告と共にトークン方式のクレジットカード決済サービスの停止をお知らせしました。
今般、第三者専門調査機関によるフォレンジック最終報告書を受領し、社内調査も完了いたしましたので、下記の通り事態の概要および当面の対処、今後の対応についてお知らせいたします。

関係する皆様方に多大なご迷惑をおかけしましたことを、心よりお詫び申し上げます。

1. 本件の概要
弊社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を利用され、不正アクセスが行われました。攻撃は、2021年8月2日から2022年1月25日にわたって以下の事項が複合的に行われ、決済情報等が格納されているデータベースにまで達し、個人情報を含む情報が外部に流出したことが判明いたしました。
なお、現時点におきましては、各事項の防止や排除等の対策は完了しております。

① 社内管理システムへの不正ログイン
不正ログイン対策として、ログイン認証方式の強化を実施しております。また、不正ログインを起因とした同一環境下への影響を防止するため、システム環境の分離を完了しております。

② 一部アプリケーションへのSQLインジェクション
アプリケーションに対して不正な命令を実行させる「SQLインジェクション」対策として、接続元の限定および、攻撃から狙われるような脆弱性に対する修正を完了しております。

③ 不正ファイル(バックドア)の設置
不正侵入するための裏口を管理者に気づかれないように設置する不正ファイルである「バックドア」の削除完了を確認しております。

2. 不正アクセスおよび流出情報について
今回は決済情報等が格納されている3つのデータベースに対し不正アクセスがあり、それぞれから情報が流出いたしました。

① トークン方式クレジットカード決済情報データベース
2021年10月14日から2022年1月25日に利用されたクレジットカード番号数(括弧内は流出情報):460,395件(カード番号、有効期限、セキュリティコード)
第三者調査において、本データベースから断続的に情報の流出があったことは確認されていますが、弊社にて実際に流出した情報を特定することはできず、また、第三者調査機関からも特定は困難との見解を得たため、流出した可能性としては最大で上記全件数となります。

② 決済情報データベース
2021年5月6日から2022年1月25日に利用されたお客様のデータ保有件数

クレジットカード決済 (※1) 2,415,750件(カード番号、有効期限)(※2)
コンビニ決済 824,483件(氏名、電話番号、メールアドレス)
ペイジー決済 170,435件(氏名、郵便番号、住所、電話番号)
電子マネー決済 980,490件(メールアドレス)
(※1) 2,415,750件には上記①の460,395件を含みます。

(※2) 保有データの一部に氏名・電話番号・住所・メールアドレスが含まれる場合があります。

弊社における調査の結果、上記②の中から判明した情報流出件数は以下の通りです。(※3)

クレジットカード決済1 434件(カード番号、有効期限)(※2)
コンビニ決済 109件(氏名、電話番号、メールアドレス)
ペイジー決済 17件(氏名、郵便番号、住所、電話番号)
電子マネー決済 33件(メールアドレス)
合計 593件
(※3) 調査方法

不正ファイルへのアクセスログ日時を抽出
抽出したログに該当するパケットデータを取得
取得したパケットデータの要求、応答を確認
応答値から窃取されたデータより件数を確認
③ 加盟店情報データベース
38件(加盟店名、加盟店コード)

3. 情報流出が懸念されるお客様への対応について
① お客様へのお知らせ
情報流出が懸念されるお客様については、弊社決済サービスを提供している加盟店様を通じて電子メール等により順次ご連絡をさせていただく予定です。
弊社が運営する「会費ペイ」「イベントペイ」をご利用のお客様に対しては、弊社から直接電子メールによりご連絡申し上げます。
② お客様ご相談窓口の設置
情報流出が懸念されるお客様を対象に以下の通り専用電話窓口を設置しております。ご不明な点がございましたら、まずは下記の弊社窓口までお問い合わせください。

≪ご利用者様向け お客様相談窓口≫

・受付時間:9:00 ~ 21:00(土日祝日も受付)
・電話番号:0120-816620(フリーダイヤル)

③ クレジットカードのご利用明細書の再確認のお願い
誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社様にお問い合わせいただきますよう、お願いいたします。
なお、カード会社様へお問い合わせの際は、スムーズなお手続きのため「メタップスペイメントの不正アクセスの件」である旨をお申し出いただきますよう併せてお願いいたします。

④ クレジットカードの差し替え
お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、弊社よりクレジットカード会社様に依頼しております。

⑤ 不正利用モニタリング
弊社ではクレジットカード会社様と連携し、流出した可能性があるクレジットカード情報による取引のモニタリングを可能な限り実施することで、不正利用の防止に努めてまいります。

4. 経緯と対策詳細
2021/12/14
クレジットカード会社より弊社提供サービス「イベントペイ」での不正利用懸念の連絡を受領

2021/12/15
クレジットカード会社から情報提供を受けたものの、弊社調査で原因を特定できず、第三者機関によるフォレンジック調査を含めた対応とすることを決定。

2021/12/16
「イベントペイ」内でのクレジットカード決済停止

2021/12/17
第三者機関によるフォレンジック調査の開始
クレジットカード会社から追加の不正利用懸念対象情報を受領
(2021/12/28から2022/1/5にかけて、上記「イベントペイ」に加え「会費ペイ」を含む新たに3サイトのクレジットカード新規決済を停止)

2021/12/29
4サイトにおいて不正アクセスによる漏洩懸念が発生し当該サイト管理者様へ連絡するとともに調査を開始した旨を一部加盟店様に通知

2022/1/5
一部アプリケーションへのSQLインジェクションを確認

2022/1/8
社内管理システムへの不正ログイン、および一部アプリケーションへのSQLインジェクションの防止や排除等の対策を完了

2022/1/21
フォレンジック調査の過程で情報流出懸念を強める事象を新たに確認

2022/1/24
不正ファイル(バックドア)の存在を確認

2022/1/25
クレジット決済サービス「トークン方式」について全停止
バックドアとなる対象プログラムの全削除を完了
「不正アクセスに関するご報告とお詫び」公表

2022/2/8
フォレンジック調査の最終報告書を受領

2022/2/18
警察に被害申告

2022/2/28
「不正アクセスおよび情報流出に関するご報告とお詫び」公表

※その他「経済産業省」「関東財務局」「個人情報保護委員会」「JIPDEC」には情報連携を行っております。

5. 今後の対応
(1) PCI DSSアセスメントについて
第三者調査機関による検査の結果、対応済みの上記問題以外には脆弱性の認められるソフトウェアは検出されておらず、また、不正アクセスの防御対策も完了していますが、2か月後を目途に、再度PCI DSSアセスメントを実施する予定です。

(2)「再発防止委員会」の設置
弊社では本件を重く受け止め、専門のアドバイザーも含めた委員会を設置いたします。システム面、運用面でのさらなる事実関係の検証のみならず、本件に至ったガバナンス体制や組織体制、社員の意識などの本質的問題に深めて議論を尽くし、2022年4月をめどに取りまとめを行います。

引用元 メタップスペイメント

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

システムの脆弱性と思慮されるが、システムの運用環境は常に変化するため、昨日まで安全でも今日には漏えいする、という状況が発生する。最低でも日単位でセキュリティー動向の最新情報を把握するとともに、サーバ管理会社とも密接な連絡を取り、安全対策を最新化しておくことが必要である。
企業や団体のSNSアカウントは、公開情報の発表や周知のために利用されることが多いが、今回のように顧客とのメッセージのやりとりなどを通して個人情報を取り扱うケースもある。加えてSNSアカウントの担当者が複数人いるケースでは、アカウント情報の取り扱いも複雑になり事故のリスクが高まる。SNSのビジネス向けの機能を活用して、アカウントを適切に管理したり、最低限の個人情報の取得・保管にとどめるなど注意が必要である。

具体例:

セキュリティーシステムは「自社も必ず攻撃を受ける」という意識で毎日ニュースをチェックし、その対策を考えるべきである。インターネットを利用したサービス提供事業者ならば、社内にもセキュリティーのエキスパートを育成し、セキュリティー専門会社との組み合わせでサービス全体の安全管理措置を講じていく必要がある。業者任せにしてはいけない。分からないまま済ませてはいけない。ユーザ数の多いサイトは最新ハッキング手法を試す実験場になっており、対策が後手に回るリスクを抱えている。常に最新対策情報を自ら得る体制を整えておくべきであろう。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。