メタップスペイメントへ不正アクセス、最大46万件のカード情報

メタップスペイメントは28日、同社データベースへの不正アクセスにより、最大46万件のカード番号やセキュリティコードなどが流出したと発表した。

同社は、不正アクセスを受け、1月25日にトークン方式のクレジットカード決済サービスの停止を発表。その後調査を進め、被害や不正アクセスの状況をまとめた。不正アクセスは、決済データセンターサーバー内の一部のアプリケーションの脆弱性を利用。2021年8月2日から2022年1月25日の期間、決済情報等が格納されているデータベースにまで達し、個人情報を含む情報が外部に流出した。

決済情報等が格納されている3つのデータベースに対し不正アクセスが行なわれた。

トークン方式クレジットカード決済情報データベースは、流出情報を特定できず、'21年10月14日から'22年1月25日に利用されたクレジットカード番号数の最大460,395件(カード番号、有効期限、セキュリティコード)に不正アクセスが疑われる。

決済情報データベースはクレジットカード240万件、コンビニ決済82万件など膨大なデータがあるが、このうち流出件数は、クレジットカード決済が434件(カード番号、有効期限)、コンビニ決済が109件(氏名、電話番号、メールアドレス)、ペイジー決済が17件(氏名、郵便番号、住所、電話番号)、電子マネー決済が33件(メールアドレス)で合計593件となる。また加盟店情報データベースは38件(加盟店名、加盟店コード)が対象。

情報流出が懸念される利用者には、同社決済サービスを提供している加盟店を通じて電子メール等で順次連絡。同社の「会費ペイ」「イベントペイ」の利用者には、同社から直接電子メールで連絡する。

また、利用者にはクレジットカード利用明細の再確認やクレジットカードの差し替えなどを行なうよう求めている。

不正アクセスは、社内管理システムへの不正ログイン、一部アプリケーションへのSQLインジェクション、 不正ファイル(バックドア)の設置などによって行なわれた。同社では、不正アクセスの防御対策を完了したが、2カ月後を目途に再度PCI DSSアセスメントを実施予定。また、再発防止委員会を設置し、システム面、運用面での事実関係の検証のほか、ガバナンス体制や組織体制、社員の意識などの本質的問題に議論し、4月をめどに取りまとめる方針。