大規模なクレカ情報流出事故を起こしたメタップスペイメント、行政指導処分に 26
ストーリー by nagazou
処分 部門より
処分 部門より
あるAnonymous Coward 曰く、
不正アクセスでカード情報46万人の流出が発生したメタップスペイメントが6月30日、経済産業省より行政処分(改善命令)を受けた。PCIDSSで求められているサーバーを対象としたネットワーク脆弱性スキャンをスキャンツールを用いて委託先で実施し「High」レベルの脆弱性が複数検出されていたにもかかわらず脆弱性なしと改竄して報告し、適切な対応しなかった結果不正アクセスの影響で流出に至ったとのこと(経済産業省、ITmedia)。
また、「会費ペイ」に係るシステムについては令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについてはPCIDSSに準拠していないとのこと。
クレジットカードに関わった者としては身につまされる思いではあるが、あまりにも杜撰すぎて呆れて物も言えない。
この業界に今現在関わっているスラド諸氏も気をつけていただきたい。
行政指導ではクレジットカードのデータセキュリティに関する国際的な基準「PCIDSS」を適切に維持・継続的に運用することを求めたほか、第三者機関の検証を踏まえた再発防止策の策定や実施を求めている。これを受けてメタップスペイメントは7月1日、公式Webサイトで謝罪文を公表した。「行政処分を真摯かつ厳粛に受け止め、改善命令に係る改善措置を速やかに講じて参る所存です」とするコメントを出している(メタップスペイメント、ITmedia)。
行政指導ではなく行政処分(業務改善命令) (スコア:3, すばらしい洞察)
行政指導というのは法的拘束力がなく、(各種監督権限を背景に)事実上行動を促すもの。法律上の明確な根拠は要らない。行政処分というのは法的効果があり、本件の場合は業務改善命令で、これに従う義務が生じる。法律上の根拠があって初めて可能なもの。ということで、両者は全然別物です。
期限ないんだ (スコア:2)
なんで期限切れないんでしょうね。
どれも「速やかに」や「講ずること」で終わり。
せめて解決するまで、全ての事業の新規申込み停止とかさせてもいいんじゃなかろうか。
Re: (スコア:0)
事案に対しての処分がかなり甘いのよね。
あるまじき事態であり同業者からすると「一刻も早く会社畳め」とか、焼き土下座させられて目の前で「あの世で詫びろ」と罵倒されてもおかしくないはず。
まあPCIDSSは必須なので取得してないと事業が許されないので期限どうのこうの以前の話ではある。
Re:期限ないんだ (スコア:1)
つか、ここの PCI DSS 認証通した QSA どこなんだろう。
いくら改竄してたとしても、まともに審査して通せるとは思えないんだけど。
Re: (スコア:0)
https://www.metaps-payment.com/company/metaps-payment_company_profile2021.pdf [metaps-payment.com]
PCI DSSの登録番号あるけどQSAがどこかって分かるのかな。
Re: (スコア:0)
すでに決済サービスを止めてるからじゃないかな。
行政的には、「どんだけ時間かかってもいいけど、早くしないと会社つぶれるかもね」ってことなんじゃないかな。
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く (スコア:2, 参考になる)
徳丸浩の日記 - メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く [tokumaru.org]
セキュリティエンジニアの徳丸氏による報告書の解説が興味深かったので共有。
重要な決済サーバーがある環境に、関係ないサーバーが同居してたり、なんというかグダグダですな。
セキュリティの原則は余計なもの動かすな、というのを感じさせる事態ですわ。
Re:メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く (スコア:1)
某アグリゲーションなフィンテックの会社にいましたが、クレカ・銀行関係対応のエンジニアはスクレイピングではなく正規のAPI呼んでるだけだとしても執務エリアも別でしたよ。
もちろんカード番号や有効期限などは保持してませんが、それでも完全にセパレートされていて、さらに人材もいわゆる今風なエンジニアだけではなく社内情シスセキュリティガッチガチ利便性なにそれが目を光らせてました。
管理したくないなら持たなきゃいいのにね。
Re: (スコア:0)
>某アグリゲーションなフィンテック
MT社とMF社が頭に浮かぶけど、そのどちらかだろうか。
銀行の認証情報を渡す必要があるってだけで敬遠してきたが、内部はさすがに(それなりに)きっちりやってるわけか。
Re: (スコア:0)
流出件数に約240万件足された内容確認したかったので助かる
コミケ (スコア:1)
C100の入場チケットの販売業者が「チケットペイ POWERED by メタップスペイメント」なので、行くの辞めようか躊躇うレベルで困惑してる
Re:コミケ (スコア:1)
hatenaにも明日から抽選が始まるC100のアーリー入場チケット抽選申込もチケットペイで心配してる人がいた。 [hatelabo.jp]
今チケット販売ページ [comiket.co.jp]見たらメタップスへの処分を受けてなのか現金のみの文言があった。
Re: (スコア:0)
ファミマのみって、北海道一部地域に住んでる人大変ですね。
Re: (スコア:0)
コミケ運営がよりによってメタップス選んじゃうような水準に凋落したのは今に始まったことではないので、コミケに関わること自体がハイリスクですよ。
自分は東待機列放置事件で運営能力を完全に見限って、それ以降行っていません。
Re: (スコア:0)
入場が有料化されたときに萎えていかなくなった。徹夜組は絶滅したかもしれんがそれ以外のものも一緒に切り捨てられるのはしかたないね。
とはいえ
> よりによってメタップス選んじゃう
はさすがに事後諸葛亮では。検査結果を改ざんしていたなんて事件発覚前にわかるわけないでしょ。
Re: (スコア:0)
お漏らしして以降もそれ選ぶの?他に選択肢無いの?というのはある。
他の決済代行に掛け合ったけどNG食らってメタップスしかないなら兎も角だが。
Re: (スコア:0)
そういうことは以降選んでから言うことじゃね?
漏らしたときの定形処理 (スコア:0)
いい加減、ユーザーに対する手続き、保証も含めて定型化した手続きがいるんじゃないか
カード番号の変更、手続きの面倒臭さをユーザーに強いるのだし
自動引落システムの番号切替を(セキュリティを確保した上で)全部やってくれるとか諸々
カード発行団体で寄り合ってやってほしいぞよ
Re:漏らしたときの定形処理 (スコア:1)
つ500円
Re: (スコア:0)
ユーザーへのお詫びは兎も角、クレジットカード会社からカード再発行にかかった費用を賠償しろと請求されないんだろうか
「この業界に今現在関わっているスラド諸氏も気をつけていただきたい。」 (スコア:0)
何を、または何に気をつけるんですか?
Re:「この業界に今現在関わっているスラド諸氏も気をつけていただきたい。」 (スコア:1)
脆弱性診断結果を改竄するような会社は他にも諸々改竄してるだろうから、
泥船から逃げ遅れないように気を付けよう、って話かと。
# 役員が改竄してたっぽいから、現場レベルでは是正しようがない
Re: (スコア:0)
そもそも現場として報告が改ざんされていることに気づけるのかどうか…
Re: (スコア:0)
役員自ら検証したんでなければ「調べた人」は知ってただろうな
それを直してないことまで知っていたかどうかはわからないが
Re: (スコア:0)
もうこんなとこのサービス使う会社ないやろってレベルの酷さの割には株価あんま下がってない。
許される感じなのだろうか。
Re: (スコア:0)
カード番号を書き込んでくれたら教えます