パスワードを忘れた? アカウント作成
15585281 story
情報漏洩

メタップスペイメントの不正アクセスでクレカ情報46万件が流出。AKB48関連や日本赤十字社などが影響 50

ストーリー by nagazou
未発表のところも多そう 部門より
クレジットカード基盤を提供するメタップスペイメントは28日、同社のデータベースから最大46万件のクレジットカード情報が流出したと発表した。外部からの不正アクセスを受けて流出したとされている(メタップスペイメントリリースITmedia)。

流出した情報は2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件。21年5月6日から22年1月25日までに実行された決済情報593件と加盟店情報38件であるとしている。同社の調査によれば、サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが判明しているという。今年の1月の段階で社内システムへの不正ログインやバックドアの存在などが確認されたとしている。

この影響で多くのサービスに影響が出ている。ITmediaの記事によれば、28日までにメタップスペイメントのクレジット決済サービス「トークン方式」や「イベントペイ」「会費ペイ」などを利用していた企業が謝罪のプレスリリースを公開する事態になっている。目立つものとしてAKB48グループチケットセンター、福山市スポーツ協会、日本赤十字社などの名前が挙がっている(ITmedia)。

あるAnonymous Coward 曰く、

攻撃の内容もサーバへの不正ログイン、SQLインジェクション、バックドアの設置など多岐にわたるようでいろいろ酷そうだ。カードの情報漏洩対策としては自前で実装せずに決済代行会社を使うのがまず定石だが、その決済代行会社がこれでは事態は深刻である。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • よくあるのはカード情報を初回登録するフォームを改竄されて、本来のサーバと同時に外部に送信させられるパターンで、だいたいCVVが漏洩したと発表されてよく分かってない人が暴れるのですが、決済会社側のプレスリリースだとCVVに言及がなく、顧客企業側では含められてますね。

    とすると、何らかのWebページ改竄は確認されているものの、問題は社内インフラへの侵入とそこからの持ち出しなのかな。

  • by h-harry (24932) on 2022年03月02日 13時04分 (#4208607) 日記

    無いのか。

    この1/20にきた不正請求 [srad.jp]は、ここから洩れた情報使った奴か。その後、変な請求はないけど番号変えたほうがいいかな。

    • この対応が正しいのかどうかわからない。直感的にはダメな気がする

      "不正アクセスの調査結果や総務省など関係省庁に提出した書類、メタップスペイメントの決済基盤を使っている企業・団体一覧などの公表予定はない"
      https://www.itmedia.co.jp/news/articles/2203/02/news126.html [itmedia.co.jp]

      親コメント
      • by Anonymous Coward

        メタップスペイメントの決済基盤を使っている企業・団体

        側でも当事者への連絡や、関係省庁や個人情報保護委員会への報告といった対応が必要。
        なので、公開するならタイミングの調整が必要になるが、数が多くて調整しきれないから、企業・団体が個別に連絡なり開示なりをする、のではないかと

      • by Anonymous Coward

        気になるなら総務省に公開請求すればいい、拒否られたら裁判で公開判決取ればいい。

  • by Anonymous Coward on 2022年03月02日 12時05分 (#4208560)

    セキュリティコードはその場で破棄するって、できないのでしょうか…?

    • by 90 (35300) on 2022年03月02日 12時22分 (#4208579) 日記

      破棄したって暗号化したって、初回登録の時は入力するでしょう。そこを改竄するんです。カードリーダーにスキミング装置を被せるのと同じですよ。リーダー側をがちがちに固めてCVVを破棄したところで、そっちから抜いてるわけではない。

      親コメント
    • by Anonymous Coward

      動いているものを治すなという思想が邪魔をするのでは?

      • by Anonymous Coward

        直した後以降に起きた問題の責任を取る覚悟がない人が文句言ってるだけなんだよね

    • by Anonymous Coward

      セキュリティコードはその場で破棄することになってると思ったし、大抵はその基準を満たしたアプリになってるんじゃないのかな。

      基準を無視してたか、不正ログインから何か仕掛けられて中の通信を見られたか、そんなのじゃないの。

    • by Anonymous Coward

      できるけどやらないんでしょう。
      漏れても会社には大して被害がない可能性が高いから。(多くがカード会社で止まるだろうし代わりがなければ問題があっても使うしか無い)
      ここはやはり、国民に厳しく企業に甘いと言われる国が動いて会社が傾きかねないくらいの罰金を課せられるようにしないと無くならないでしょうね。

      • by Anonymous Coward

        コード保存をやったら必須の認定が取れないし、設計の問題だからバレなきゃセーフを狙うだけ金の無駄。
        むしろセキュリティの問題だから厳罰化したら報告されなくなって激増すると思うよ。

    • by Anonymous Coward

      クライアントのセキュリティ対策ソフトでユーザーの入力をその場で破棄する事はできるかも。

  • by Anonymous Coward on 2022年03月02日 12時07分 (#4208564)

    ここで卒論を買った人たちの情報も流出してのかな

    Twitter上で卒業論文販売サイトが話題。決済にはメタップスペイメントが使用される
    https://srad.jp/story/21/08/18/1746220/ [srad.jp]

  • by Anonymous Coward on 2022年03月02日 12時09分 (#4208567)

    これぞノーガード戦法!

  • by Anonymous Coward on 2022年03月02日 12時15分 (#4208571)

    久しぶりに聞いた気がする。普通に作ればSQLインジェクション起こせないだろうから文字列結合してたのかな。

    • by Anonymous Coward

      昔は気にしてる人そんなに多くなかったから、その頃からのコードなら文字列結合はまだまだあると思う
      …と仕事で実例を見ながら(外部から直接アクセスはできないので、問題視はされてない)

      • by Anonymous Coward

        メタップスペイメントって元々は割と昔からやってる株式会社デジタルチェックだから、
        その頃からのダメな実装をそのまま引き継いでるんじゃないかね

    • by Anonymous Coward

      まあ普通って意外と普通じゃないし。
      あり物のパーサに脆弱性があるとかでなければいいなと。

    • by Anonymous Coward

      普通に作らせたら平気でSQLインジェクション可能なコードを書いてくる連中なら未だにいますよ。
      というかそっちのほうが絶対数多いんじゃないかってぐらい。
      コードレビューって大事。
      そもそもきちんと入力出来ないんだからセキュリティ云々以前の問題なんだけどねぇ。

  • by Anonymous Coward on 2022年03月02日 12時30分 (#4208584)

    まだやってたんだ
    じゃんけんとかあくしゅ会とかまだやってんの?

  • by Anonymous Coward on 2022年03月02日 12時47分 (#4208598)

    カード会社は、中小事業者には、漏洩リスク低減のために決済代行業者を使うように指導・要請してるが、
    肝心の決済代行業者から漏洩とか

    • by Anonymous Coward

      決済代行側のサーバがやられるという認識が薄いのさ。PCIDSSの審査ちゃんと受けていたのだろうか。
      SQLインジェクションだと3Dセキュア認証の画面からやられた?

      • メタップスペイメント 沿革 [metaps-payment.com]」

        2018年 12月 PCIDSS3.2.1へ完全準拠

        • by Anonymous Coward

          書き方が悪かった。
          PCIDSSの審査は半期か四半期だか忘れたけど定期的に受けねばならんのよ。
          (審査OKは必須なので取らないやつは駄目)
          あとは脆弱性診断もいるのでそこが済んでいたかかどうか。

          • by Anonymous Coward

            リリースより

            (1) PCI DSSアセスメントについて
            第三者調査機関による検査の結果、対応済みの上記問題以外には脆弱性の認められるソフトウェアは検出されておらず、また、不正アクセスの防御対策も完了していますが、2か月後を目途に、再度PCI DSSアセスメントを実施する予定です。

            とのことで、審査は受けていたけど見逃してしまっていた、他のソフトは再点検済み、再度PCI DSSの審査受け直す、ということのようです。

            • by Anonymous Coward

              脆弱性のエスカレーションができていないのかしら?
              脆弱性のリスクを把握していない事業者は愚の骨頂だし、サービス止まるのが怖いのでパッチ充てたくないでしゅうは今の時代には許されないのに。
              アプリケーション脆弱性診断は年1で実施していたらしいがその周期でいいのか見直さないといけない気がする。

              • by Anonymous Coward

                PCI DSSとは [jcdsc.org]」

                WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。

                四半期に1回以上らしいですが、それで防げないとなると確かに意味がないような。

              • by Anonymous Coward

                審査がザルなんじゃないの?
                ・・・と思われても仕方ない状況だな。

  • by Anonymous Coward on 2022年03月02日 13時05分 (#4208609)

    アダルティな購入履歴が漏れるのだけは怖い。

    • by Anonymous Coward

      カード情報が漏れるよりAmazonの購入履歴が漏れるほうが被害甚大というやつですね

    • by Anonymous Coward

      あなたのように無価値な人間の個人情報は「この人にお金貸したら危ない」「この人に対して販促プレゼントするのは無駄」というような使いかたにつながるから結果として損する≒問題あるんだよ。

    • by Anonymous Coward

      「SQLインジェクションでぶっこ抜き」でWinMXでデータのやり取りが流行っていたころに、そういうデータが流れていましたよ。
      ※「デカプリオを会社に送るのか!」とか

  • by Anonymous Coward on 2022年03月02日 13時34分 (#4208626)

    ふつう日本赤十字社からものを買う機会はないのに何故?
    と思ったけど、寄付をクレジットカード経由でするケースがあるのかな。

  • by Anonymous Coward on 2022年03月02日 13時47分 (#4208638)

    2ヶ月後に、再度PCI DSSアセスメントを実施する予定、って事らしいんだけど。
    もうこれ、意味あるのかな。

    大体、社内調査で解決出来なかった時点で、ここは駄目なんじゃないか?

    • by 90 (35300) on 2022年03月02日 14時30分 (#4208668) 日記

      技術的な見地からはその手の各種認定は百害あって一利なしというのが常識ですが、こうして事故った時は全責任がそこを通して"不可抗力"に流れ込み、免責と保険金支払いが飛び出すわけです。ビジネス的な意味は大きいでしょう。

      親コメント
      • by Anonymous Coward

        保険は降りるんだろうけど企業の存続が怪しくなってくるカンジ。
        汚名はずっと残り続けるだろうし加盟店は逃げるだろうで事業として成り立たなくなるかも。
        競合他社はいくらでもいるので1社が潰れたところでどうにでもなる。

  • by Anonymous Coward on 2022年03月02日 14時45分 (#4208679)

    というのがまったくわからない

    • by Anonymous Coward

      というのがまったくわからない

      と特定のACが宣っておりますが
      全ACといたしましても明らかにしていただきたくあるようなないような複雑な心境でございます

      # 全オレが泣いた

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...