クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。
流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。
同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。1月25日までに各種対策を施した上で、クレジット決済サービス「トークン方式」を全停止した。2月18日には警察に被害届を提出している。
同社は1月25日に第1報を発表。その際には、不正アクセスの原因や流出の内容は調査中としていた。
メタップスペイメントは、外部の専門家を含む再発防止委員会を設置。今回の事態を引き起こすに至ったガバナンスや組織、社員意識などの問題について議論し、4月をめどにとりまとめるとしている。クレジットカード決済事業社向け情報セキュリティ基準「PCI DSS」に基づいたセキュリティ評価も再度実施する。
https://www.itmedia.co.jp/news/articles/2202/28/news099.html
以下ネットの反応
流出してないって言われても不安で番号変えたくなるな
コード番号はチケットや寄付や通販や宿泊などの決済に用いられる
そのコード番号を使って他のサービスや通販に流用されるおそれがある
店頭の一般的な決済では問題ない
セキュリティコードは使わない
暗証番号かサインを使う
これらは保存してない
あたま沸いてるのか
何考えてるんだこの会社
たぶん漏れてるけど、ワンタイムパスワードとかやってるから突破できなかったのかな
Webサーバとデータベースは別サーバにする。
基本が何もなってない。
全く知らんかったよ
必ず開く病。心の病さ。
悪意を持った技術者にとっては天国のような場所だよ
自分の都合だと1000円くらい手数料かかるっていわれことあるけど
めんどくさ
なんで?
クレカ請求がいつもより金額が多いな?っておもって明細を見たら
Appleからの決済が沢山。ちなみに俺はAppleIDは持ってない。
次月の請求にもあった。Appleに連絡とって事情説明したら全部キャンセルにしてくれた。
クレカは破棄手続きして、新しい番号で再発行。ほんといい迷惑。
保険に入っているだろうに、きっと500円はこないな。
だって、メタップスの問い合わせ電話したけど「すいません」だけで連絡先すら聞かなかったから。
webで履歴がわかるから、1年分を参照して不正利用の確認と切り替えの見落としがないか確認が大仕事。
加盟店に周知してないとかあるんかよ
やばすぎ
社内システムを外部に繋げてる時点でアウトだろ
毎月の明細書確認するだけでいいの?
再発行費用だけで20億はかかるから、この会社潰れるんじゃね?
