メタップスペイメントの不正アクセスでクレカ情報46万件が流出。AKB48関連や日本赤十字社などが影響 50
ストーリー by nagazou
未発表のところも多そう 部門より
未発表のところも多そう 部門より
クレジットカード基盤を提供するメタップスペイメントは28日、同社のデータベースから最大46万件のクレジットカード情報が流出したと発表した。外部からの不正アクセスを受けて流出したとされている(メタップスペイメントリリース、ITmedia)。
流出した情報は2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件。21年5月6日から22年1月25日までに実行された決済情報593件と加盟店情報38件であるとしている。同社の調査によれば、サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが判明しているという。今年の1月の段階で社内システムへの不正ログインやバックドアの存在などが確認されたとしている。
この影響で多くのサービスに影響が出ている。ITmediaの記事によれば、28日までにメタップスペイメントのクレジット決済サービス「トークン方式」や「イベントペイ」「会費ペイ」などを利用していた企業が謝罪のプレスリリースを公開する事態になっている。目立つものとしてAKB48グループチケットセンター、福山市スポーツ協会、日本赤十字社などの名前が挙がっている(ITmedia)。
あるAnonymous Coward 曰く、
流出した情報は2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件。21年5月6日から22年1月25日までに実行された決済情報593件と加盟店情報38件であるとしている。同社の調査によれば、サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが判明しているという。今年の1月の段階で社内システムへの不正ログインやバックドアの存在などが確認されたとしている。
この影響で多くのサービスに影響が出ている。ITmediaの記事によれば、28日までにメタップスペイメントのクレジット決済サービス「トークン方式」や「イベントペイ」「会費ペイ」などを利用していた企業が謝罪のプレスリリースを公開する事態になっている。目立つものとしてAKB48グループチケットセンター、福山市スポーツ協会、日本赤十字社などの名前が挙がっている(ITmedia)。
あるAnonymous Coward 曰く、
攻撃の内容もサーバへの不正ログイン、SQLインジェクション、バックドアの設置など多岐にわたるようでいろいろ酷そうだ。カードの情報漏洩対策としては自前で実装せずに決済代行会社を使うのがまず定石だが、その決済代行会社がこれでは事態は深刻である。
CVV漏洩が確認されていない (スコア:2)
よくあるのはカード情報を初回登録するフォームを改竄されて、本来のサーバと同時に外部に送信させられるパターンで、だいたいCVVが漏洩したと発表されてよく分かってない人が暴れるのですが、決済会社側のプレスリリースだとCVVに言及がなく、顧客企業側では含められてますね。
とすると、何らかのWebページ改竄は確認されているものの、問題は社内インフラへの侵入とそこからの持ち出しなのかな。
Re: (スコア:0)
いや、リリースの「① トークン方式クレジットカード決済情報データベース」のとこにはっきりと「セキュリティコード」と書かれてますぜ。
バックドアも「削除完了を確認」と書かれているから、設置まで成功して実際に使われていたと考えると、全部のデータが見られていたとしてもおかしくないんじゃないかな。
Re:CVV漏洩が確認されていない (スコア:2)
oh. どうしてデータベースからの漏洩でセキュリティコードが漏れるのだ。
Re:CVV漏洩が確認されていない (スコア:1)
分かりやすい記事が出てた。
セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く [itmedia.co.jp]
Re: (スコア:0)
保存してるからだろ
保存してるから (スコア:0)
以前物販サイトに関わった時に上流の会社の人に聞いたけど
我々が思ってる以上にセキュリティコードを保存してるWebアプリは多いらしい。
駄目なはずだけど当然のように保存してるって。
利用企業のリスト (スコア:1)
無いのか。
この1/20にきた不正請求 [srad.jp]は、ここから洩れた情報使った奴か。その後、変な請求はないけど番号変えたほうがいいかな。
Re:利用企業のリスト (スコア:2)
この対応が正しいのかどうかわからない。直感的にはダメな気がする
"不正アクセスの調査結果や総務省など関係省庁に提出した書類、メタップスペイメントの決済基盤を使っている企業・団体一覧などの公表予定はない"
https://www.itmedia.co.jp/news/articles/2203/02/news126.html [itmedia.co.jp]
Re: (スコア:0)
メタップスペイメントの決済基盤を使っている企業・団体
側でも当事者への連絡や、関係省庁や個人情報保護委員会への報告といった対応が必要。
なので、公開するならタイミングの調整が必要になるが、数が多くて調整しきれないから、企業・団体が個別に連絡なり開示なりをする、のではないかと
Re: (スコア:0)
気になるなら総務省に公開請求すればいい、拒否られたら裁判で公開判決取ればいい。
いつも思うのですが (スコア:0)
セキュリティコードはその場で破棄するって、できないのでしょうか…?
Re:いつも思うのですが (スコア:2)
破棄したって暗号化したって、初回登録の時は入力するでしょう。そこを改竄するんです。カードリーダーにスキミング装置を被せるのと同じですよ。リーダー側をがちがちに固めてCVVを破棄したところで、そっちから抜いてるわけではない。
Re: (スコア:0)
動いているものを治すなという思想が邪魔をするのでは?
Re: (スコア:0)
直した後以降に起きた問題の責任を取る覚悟がない人が文句言ってるだけなんだよね
Re: (スコア:0)
セキュリティコードはその場で破棄することになってると思ったし、大抵はその基準を満たしたアプリになってるんじゃないのかな。
基準を無視してたか、不正ログインから何か仕掛けられて中の通信を見られたか、そんなのじゃないの。
Re: (スコア:0)
できるけどやらないんでしょう。
漏れても会社には大して被害がない可能性が高いから。(多くがカード会社で止まるだろうし代わりがなければ問題があっても使うしか無い)
ここはやはり、国民に厳しく企業に甘いと言われる国が動いて会社が傾きかねないくらいの罰金を課せられるようにしないと無くならないでしょうね。
Re: (スコア:0)
コード保存をやったら必須の認定が取れないし、設計の問題だからバレなきゃセーフを狙うだけ金の無駄。
むしろセキュリティの問題だから厳罰化したら報告されなくなって激増すると思うよ。
Re: (スコア:0)
クライアントのセキュリティ対策ソフトでユーザーの入力をその場で破棄する事はできるかも。
卒論ショップ (スコア:0)
ここで卒論を買った人たちの情報も流出してのかな
Twitter上で卒業論文販売サイトが話題。決済にはメタップスペイメントが使用される
https://srad.jp/story/21/08/18/1746220/ [srad.jp]
メタメタOOPSペイメント (スコア:0)
これぞノーガード戦法!
SQLインジェクション? (スコア:0)
久しぶりに聞いた気がする。普通に作ればSQLインジェクション起こせないだろうから文字列結合してたのかな。
Re: (スコア:0)
昔は気にしてる人そんなに多くなかったから、その頃からのコードなら文字列結合はまだまだあると思う
…と仕事で実例を見ながら(外部から直接アクセスはできないので、問題視はされてない)
Re: (スコア:0)
メタップスペイメントって元々は割と昔からやってる株式会社デジタルチェックだから、
その頃からのダメな実装をそのまま引き継いでるんじゃないかね
Re: (スコア:0)
まあ普通って意外と普通じゃないし。
あり物のパーサに脆弱性があるとかでなければいいなと。
Re: (スコア:0)
普通に作らせたら平気でSQLインジェクション可能なコードを書いてくる連中なら未だにいますよ。
というかそっちのほうが絶対数多いんじゃないかってぐらい。
コードレビューって大事。
そもそもきちんと入力出来ないんだからセキュリティ云々以前の問題なんだけどねぇ。
AKB48 (スコア:0)
まだやってたんだ
じゃんけんとかあくしゅ会とかまだやってんの?
Re:AKB48 (スコア:1)
あくしゅ会とかまだやってんの?
48手界に変わっていないこと祈ろう
カード会社の指導 (スコア:0)
カード会社は、中小事業者には、漏洩リスク低減のために決済代行業者を使うように指導・要請してるが、
肝心の決済代行業者から漏洩とか
Re: (スコア:0)
決済代行側のサーバがやられるという認識が薄いのさ。PCIDSSの審査ちゃんと受けていたのだろうか。
SQLインジェクションだと3Dセキュア認証の画面からやられた?
審査はパスしていた (スコア:0)
「メタップスペイメント 沿革 [metaps-payment.com]」
2018年 12月 PCIDSS3.2.1へ完全準拠
Re: (スコア:0)
書き方が悪かった。
PCIDSSの審査は半期か四半期だか忘れたけど定期的に受けねばならんのよ。
(審査OKは必須なので取らないやつは駄目)
あとは脆弱性診断もいるのでそこが済んでいたかかどうか。
Re: (スコア:0)
リリースより
(1) PCI DSSアセスメントについて
第三者調査機関による検査の結果、対応済みの上記問題以外には脆弱性の認められるソフトウェアは検出されておらず、また、不正アクセスの防御対策も完了していますが、2か月後を目途に、再度PCI DSSアセスメントを実施する予定です。
とのことで、審査は受けていたけど見逃してしまっていた、他のソフトは再点検済み、再度PCI DSSの審査受け直す、ということのようです。
Re: (スコア:0)
脆弱性のエスカレーションができていないのかしら?
脆弱性のリスクを把握していない事業者は愚の骨頂だし、サービス止まるのが怖いのでパッチ充てたくないでしゅうは今の時代には許されないのに。
アプリケーション脆弱性診断は年1で実施していたらしいがその周期でいいのか見直さないといけない気がする。
Re: (スコア:0)
「PCI DSSとは [jcdsc.org]」
WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。
四半期に1回以上らしいですが、それで防げないとなると確かに意味がないような。
Re: (スコア:0)
審査がザルなんじゃないの?
・・・と思われても仕方ない状況だな。
俺の個人情報なんて漏れても問題ないけど (スコア:0)
アダルティな購入履歴が漏れるのだけは怖い。
Re: (スコア:0)
カード情報が漏れるよりAmazonの購入履歴が漏れるほうが被害甚大というやつですね
Re: (スコア:0)
あなたのように無価値な人間の個人情報は「この人にお金貸したら危ない」「この人に対して販促プレゼントするのは無駄」というような使いかたにつながるから結果として損する≒問題あるんだよ。
Re: (スコア:0)
「SQLインジェクションでぶっこ抜き」でWinMXでデータのやり取りが流行っていたころに、そういうデータが流れていましたよ。
※「デカプリオを会社に送るのか!」とか
日本赤十字社とクレジットカード (スコア:0)
ふつう日本赤十字社からものを買う機会はないのに何故?
と思ったけど、寄付をクレジットカード経由でするケースがあるのかな。
Re:日本赤十字社とクレジットカード (スコア:2)
そうみたいですね。
オンライン寄付の~ って掲載があった。
https://www.jrc.or.jp/information/202202onlinedonation.html [jrc.or.jp]
Re: (スコア:0)
赤十字の三角巾は結構使い勝手がいいので大昔に通販で買った事がある。
# いや、赤十字救急法救急員講習の時のを車に入れっぱなしにしてたら
# おもいっきり黄ばんでしまったから買い直した、というのが正解なんですがorz
PCI DSSアセスメント (スコア:0)
2ヶ月後に、再度PCI DSSアセスメントを実施する予定、って事らしいんだけど。
もうこれ、意味あるのかな。
大体、社内調査で解決出来なかった時点で、ここは駄目なんじゃないか?
Re:PCI DSSアセスメント (スコア:2)
技術的な見地からはその手の各種認定は百害あって一利なしというのが常識ですが、こうして事故った時は全責任がそこを通して"不可抗力"に流れ込み、免責と保険金支払いが飛び出すわけです。ビジネス的な意味は大きいでしょう。
Re: (スコア:0)
保険は降りるんだろうけど企業の存続が怪しくなってくるカンジ。
汚名はずっと残り続けるだろうし加盟店は逃げるだろうで事業として成り立たなくなるかも。
競合他社はいくらでもいるので1社が潰れたところでどうにでもなる。
で、俺には影響あるの? (スコア:0)
というのがまったくわからない
Re: (スコア:0)
というのがまったくわからない
と特定のACが宣っておりますが
全ACといたしましても明らかにしていただきたくあるようなないような複雑な心境でございます
# 全オレが泣いた
Re: (スコア:0)
犯罪者発見