画像:株式会社メタップスペイメントより引用
株式会社メタップスペイメントは2022年7月1日、同社の決済システムからトークン方式のクレジットカード情報や決済情報、加盟店情報などが流出した問題を受け、経済産業省から行政処分(改善命令)を受けたと明らかにしました。
同社を巡る問題は2022年1月に明かされたもので、決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を利用され、保有カード情報が狙われました。攻撃は不正アクセスやSQLインジェクション、バックドア設置など脆弱性を利用した巧みなもので、同社の保有する顧客カード番号や有効期限、セキュリティコードなどの流出が確認されています。
経済産業省はこれを受け、改善命令と同時に複数の問題点を指摘しています。
同省によると、メタップス社ではデータセキュリティの国際基準である「PCIDSS」に準拠しているとしていましたが、実際にはセキュリティ診断で複数の脆弱性が検出されていたにもかかわらず、一部を改ざんし、報告していたとのこと。
また、ウェブサプリケーションの脆弱性診断では担当職員からセキュリティ管理担当役員に報告がなされていたにもかかわらず、他の経営陣に対して脆弱性が検出されていた事実や「PCIDSS」の改ざんについて報告が行われていなかった点を説明。セキュリティ上の懸念の放置する体制が継続しており、2021年に行われたSQLインジェクション攻撃に対しても、速やかにフォレンジック調査を実施しなかったと指摘しています。
同省はこうした経緯を受け、メタップス社に第三者機関の検証を踏まえた再発防止策を策定し実施するよう指示しています。また、書類の改ざんなど問題のある行いを防止するため、内部監査機能の強化や業務の属人化の解消、抜本的な業務運営体制の再構築を行うよう改善命令を出しています。
参照クレジットカード番号等取扱業者に対する行政処分を行いました/経済産業省