決済代行事業のメタップスペイメントは2月28日、決済情報等が格納されているデータベースが不正アクセスを受け、最大で約46万件のクレジットカード情報が流出したと発表した。同社では1月25日、クレジット決済サービス「トークン方式」のデータベースに格納されている一部情報にアクセスされ、情報流出した恐れが高いことが判明したため、サービスを停止していた。
PCIDSSに準拠していた
第三者専門調査機関の調査によると、決済データセンターサーバー内に配置された一部のアプリケーションのぜい弱性を利用され、不正アクセスが行われた。攻撃は、2021年8月2日から22年1月25日に渡って行われ、決済情報等が格納されている3つのデータベースに対し不正アクセスがあり、個人情報を含む情報が外部に流出したことが分かったという。
トークン方式クレジットカード決済情報データベースから流出した恐れがあるのは、昨年10月14日から今年1月25日に利用されたクレジットカード情報(カード番号、有効期限、セキュリティーコード)で、最大46万395件。なお、実際に流出した情報は特定できていない。
決済情報データベースからの流出件数は、クレジットカード決済が434件(カード番号、有効期限)、コンビニ決済は109件(氏名、電話番号、メールアドレス)、ペイジー決済が17件(氏名、郵便番号、住所、電話番号)、電子マネー決済は33件(メールアドレス)の計593件。加盟店情報データベースからは38件(加盟店名、加盟店コード)となる。
同社はカードのセキュリティー基準である「PCIDSS」に準拠しているほか、ISMS(情報セキュリティマネジメントシステム)とプライバシーマークも取得しており、セキュリティー体制は万全と評価されていたはずだった。なぜこうした事故が起きたのか。
同社によれば、今回の情報漏えいはPCIDSSの要件を満たしたサーバーが直接不正アクセスを受けたわけではないという。コンビニエンスストア決済など、カード決済以外を扱っていたデータベースが第三者からの侵入を受け、最終的にはカード決済情報を保持しているサーバーが、アプリケーションに対して不正な命令を実行させる「SQLインジェクション」や、不正侵入するための裏口を管理者に気づかれないように設置する不正ファイルである「バックドア」の設置といった攻撃を受け、カード情報流出に至った。
今回の事件では、セキュリティーコードも流出した恐れがある。PCIDSSにおいては、セキュリティーは「機密認証データ」と位置づけられており、機密認証データは原則として保存してはいけないことになっている。
同社によれば、カード情報をカード会社に渡す際に、セキュリティーコードがデータベースを通過することから、一定時間は保持する設定となっており、その際に盗まれた可能性があるのだという。
サービス利用企業が謝罪
同社によると、問題となった決済システムはクレジットカードセキュリティーに準拠する形で実施しており、四半期ごとのぜい弱性診断や年1回のアプリケーションぜい弱性診断等を実施していたものの「認識が甘い部分があった」(同社管理部)。
同社では第三者機関における調査の診断により、ぜい弱性を指摘された点について対策を実施。不正ログイン対策として、ログイン認証方式の強化を実施した。さらに、不正ログインを起因とした同一環境下への影響を防止するため、システム環境の分離を完了している。SQLインジェクション対策としては、接続元の限定および、攻撃から狙われるようなぜい弱性を修正。バックドアも削除している。
また、専門のアドバイザーも含めた再発防止委員会を設置した。今後、改めてPCIDSSアセスメント(評価)の実施を予定している。なお、2月18日には警察に被害を申告している。
決済代行会社からの情報漏えいを受けて、オンライン寄付サイトで同社サービスを利用していた日本赤十字社をはじめ、チケット予約サイトや宿泊予約サイトなどが、情報流出に関する告知や謝罪を行っている。なお、同社の決済サービスは数千社が利用しているが、加盟店の詳細に関しては非公開という。また、加盟店への補償については、3月中に加盟店向けに案内する予定だ。