画像:株式会社メタップスペイメントより引用
株式会社メタップスペイメントは2022年2月28日、同社にて発生したサイバー攻撃について調査の結果、最大で46万395件のクレジットカード情報およびコンビニやペイジー等の決済情報および加盟店情報について流出の可能性があると明らかにしました。
メタップスペイメント社を巡る問題は2022年1月に判明したものです。同社は当時から不正アクセスによる情報流出の可能性について言及していましたが、前回公開時点では調査が完了しておらず、詳細は明らかにされていませんでした。
今回同社が公開した情報は、攻撃者の手口や狙われたデータベース、被害規模といった内容です。また、セキュリティ対応および再発防止策についても言及し、被害が懸念されるユーザーに謝罪しました。
3つのデータベースから情報流出
メタップスペイメント社が公開した資料によれば、攻撃者は2021年8月2日~2022年1月25日の約6カ月にわたり、決済データセンターに配置されていたアプリケーションの脆弱性を利用する形で不正アクセスを仕掛けていました。
攻撃の手口は管理システムへの不正ログインやアプリケーションへのSQLインジェクション、バックドアの設置などを複合的に用いたものであると判明しています。
決済データ等が格納されているデータベースが狙われ、最終的にトークン式カード情報、コンビニやペイジー、電子マネー等の決済情報、加盟店情報を格納した3つのデータベースから情報流出が発生したとしています。
セキュリティ対策の強化を実施、専用ダイヤルなどで対応
メタップスペイメント社は不正アクセスに対する調査が完了してから、認証方式の強化や脆弱性問題を修正など、セキュリティ対策を実施したとしています。
また、同社は不正アクセスの発生に伴い、情報流出が懸念されるユーザーに対して、加盟店を通じて注意喚起等を目的とした連絡を行う発表。専用ダイヤルを設置して、不明点へのフォローも行うとしています。
参照不正アクセスによる情報流出に関するご報告とお詫び/株式会社メタップスペイメント