メタップスペイメント、不正アクセスでカード情報流出 経産省が改善命令
決済代行業を手がける「メタップスペイメント」(東京都港区)で2021~2022年、不正アクセス被害により最大で約46万件のカード情報が流出した可能性があり、経済産業省は2022年6月30日、割賦販売法にもとづく業務改善命令を出しました。脆弱性が見つかっていたのに報告書を改ざんしていたといいます。第三者機関の検証を踏まえた再発防止策を速やかに作り、実施するよう求めています。
メタップスペイメントが被害にあった不正アクセス被害
メタップスペイメントの公式サイトによると、決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を狙った不正アクセスに遭ったといいます。
具体的には、2021年8月~2022年1月、次のような攻撃があったといいます。
- 社内管理システムへの不正ログイン
- 一部アプリケーションへのSQLインジェクション
- 不正ファイル(バックドア)の設置
決済情報等が格納されているデータベースから、個人情報を含む情報が流出したといいます。3つのデータベースが不正アクセスの被害に遭いました。
このうち、トークン方式クレジットカード決済情報データベースでは、2021年10月~2022年1月に利用されたクレジットカード最大で約46万件のカード番号、有効期限、セキュリティコードが流出した可能性があるといいます。このほか、38件の加盟店情報も流出した可能性があります。
経済産業省の業務改善命令
このメタップスペイメントに対し、経済産業省は6月30日、割賦販売法第35条の17の規定にもとづいて業務改善命令を出しました。具体的には、自社のクレジットカード決済システムが、クレジットカードのデータセキュリティに関する国際的な基準を満たしていなかったため、改善を求めました。
さらに、以下のような問題点も見つかったといいます。
- クレジットカード決済システムにおける不正アクセスの検知や防御対策の不備
- データベースが適切に分離されていない
- 自社のシステムのアプリケーションやネットワークの脆弱性診断を適切に実施せず、検出された脆弱性に適切に対応しない
そこで、経産省は第三者機関の検証を踏まえた再発防止策を速やかに作り、実施することなども求めました。
業務改善命令の理由
メタップスペイメントが業務改善命令に至った理由の一つとして、WEBアプリケーション脆弱性診断の報告書の改ざんがあったといいます。
メタップスペイメントは、2018年6月、コンビニ決済の契約を締結していた加盟店にサービスを提供するために開発、運用していたアプリケーションを委託先事業者のシステムから自社のクレジットカード決済システム内に移設していました。
アプリの移設は、代表取締役に稟議が通されており、組織決定されていましたが、社内の担当部門に的確に情報共有されていませんでした。そのため、国際基準の監査対象からも外れていました。
その後も脆弱性の診断ツールを使ったときに、「High」「Medium」レベルの脆弱性が複数検出されていたにもかかわらず、報告書に脆弱性をなかったものとして改ざんしていました。
また、社内の内部監査機能が働くこともなく、担当役員以外の経営陣はこれらの問題を十分認識せず、情報漏洩による原因究明まで事実を把握できていなかったといいます。
