サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

イベントペイのメタップス社、経産省から改善命令



画像:株式会社メタップスペイメントより引用

株式会社メタップスペイメントは2022年7月1日、同社の決済システムからトークン方式のクレジットカード情報や決済情報、加盟店情報などが流出した問題を受け、経済産業省から行政処分(改善命令)を受けたと明らかにしました。

同社を巡る問題は2022年1月に明かされたもので、決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を利用され、保有カード情報が狙われました。攻撃は不正アクセスやSQLインジェクション、バックドア設置など脆弱性を利用した巧みなもので、同社の保有する顧客カード番号や有効期限、セキュリティコードなどの流出が確認されています。

経済産業省はこれを受け、改善命令と同時に複数の問題点を指摘しています。

同省によると、メタップス社ではデータセキュリティの国際基準である「PCIDSS」に準拠しているとしていましたが、実際にはセキュリティ診断で複数の脆弱性が検出されていたにもかかわらず、一部を改ざんし、報告していたとのこと。

また、ウェブサプリケーションの脆弱性診断では担当職員からセキュリティ管理担当役員に報告がなされていたにもかかわらず、他の経営陣に対して脆弱性が検出されていた事実や「PCIDSS」の改ざんについて報告が行われていなかった点を説明。セキュリティ上の懸念の放置する体制が継続しており、2021年に行われたSQLインジェクション攻撃に対しても、速やかにフォレンジック調査を実施しなかったと指摘しています。

同省はこうした経緯を受け、メタップス社に第三者機関の検証を踏まえた再発防止策を策定し実施するよう指示しています。また、書類の改ざんなど問題のある行いを防止するため、内部監査機能の強化や業務の属人化の解消、抜本的な業務運営体制の再構築を行うよう改善命令を出しています。

参照行政処分に関するお知らせ/株式会社メタップスペイメント

参照クレジットカード番号等取扱業者に対する行政処分を行いました/経済産業省


無料のWEBセキュリティ診断が可能!

URLhttps://cybersecurity-jp.com/shindan/ 「WEBセキュリティ診断くん」は、Webアプリケーションに存在する脆弱性を診断するツールで、無料でWEBサイトに存在する脆弱性の数を把握することが可能です。 また、実際に脆弱性に対してどのような対策を行えば良いかは、月額10,000円からの少額で診断結果を確認することが可能です。 まずは無料で脆弱性の数を診断してみてはいかがでしょうか?


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け


ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。