メタップスペイメントの情報流出についてまとめてみた - piyolog

piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

メタップスペイメントの情報流出についてまとめてみた

クレジットカード 不正アクセス

2022年2月28日、メタップスペイメントは決済情報などが格納されたデータベースへ不正アクセスが行われクレジットカードを含む情報流出が判明したと公表しました。ここでは関連する情報をまとめます。

複合的な攻撃を半年間受ける

  • 不正利用懸念ありと連絡を受けたのはメタップスペイメントのイベントペイで2021年12月17日にクレジットカード決済を停止。さらに会費ペイを含む3サイトは2022年1月5日までにクレジットカードの新規決済を停止。その後2022年1月24日にバックドアの存在が確認されたことから、トークン方式のクレジット決済サービスを全て停止した。
  • 攻撃を受けていたのは2021年8月2日から2022年1月25日の約6カ月。2021年12月14日にクレジットカード会社から連絡受領しその後調査するも自社での原因特定ができず外部機関でフォレンジック調査を実施。
  • 不正アクセスはメタップスペイメントの決済データセンターサーバー内の一部アプリケーションに存在したSQLインジェクションの脆弱性悪用の他、社内管理システムへの不正ログインと不正ファイル(バックドア)の設置も確認されている。これらが複合的に行われたことで最終的に3つのデータベースから外部へ情報流出が発生した。複合的とする手口の詳細は2月28日の発表で取り上げられてはいない。
f:id:piyokango:20220304133846p:plain
メタップスペイメントのWebサイト

3つのデータベースから情報流出

外部への情報流出が確認されたのは次の3つのデータベース。

  • トークン方式クレジットカード決済情報データベース
  • 決済情報データベース
  • 加盟店情報データベース
f:id:piyokango:20220304094706p:plain
各データベースからの流出件数等の状況
  • トークン方式クレジットカード決済情報データベースからの流出は断続的に確認されているものの調査機関でも流出対象は特定困難との見解から2021年10月14日から2022年1月25日に利用されたものを流出した可能性として全件数を記載している。
  • セキュリティコードが対象項目に含まれた理由は承認処理が行われる際データベースで短期間保持される実装であったため。保持期間は非公開だが、保管や保存の事実はなしとメタップスペイメントは説明。*1
  • 決済情報データベースの保有件数は2021年5月6日から2022年1月25日までに利用された顧客データを対象としている。また流出の特定は次の手順で調査を行ったと説明。
  1. 不正ファイルへのアクセスログ日時を抽出
  2. 抽出したログに該当するパケットデータを取得
  3. 取得したパケットデータの要求、応答を確認
  4. 応答値から窃取されたデータより件数を確認

再度PCIDSSアセスメントなどを実施

メタップスペイメントの実施済や今後の対応は次の通り。

  • 不正アクセスにより確認された各手口(不正ログイン、SQLインジェクション、バックドア設置)への対応。
  • 警察への被害申告、関係組織(経済産業省、関東財務局、個人情報保護委員会、JIPDEC)への連絡。
  • 第三者機関の調査で今回問題の以外で脆弱性の認められるソフトウエアは確認されなかったが、2か月後を目途とするPCI DSSアセスメントの再度実施。(これまでも年1回で訪問審査、アプリケーション脆弱性診断を実施。四半期毎にネットワーク脆弱性診断を実施。)
  • 再発防止委員会の設置と2022年4月目途の取りまとめ作業の実施。

便乗詐欺の注意喚起

関連タイムライン

日時 出来事
2021年5月6日 (決済情報データベースの保有対象件数の計上開始日)
2021年8月2日 メタップスペイメントの決済データセンターに対する不正アクセスが開始。
2021年10月14日 (トークン方式クレジットカード決済情報データベースの流出対象件数の計上開始日)
2021年12月14日 メタップスペイメントへクレジットカード会社からイベントペイで不正利用懸念の連絡。
2021年12月15日 メタップスペイメントでの原因特定できず、第三者機関での調査を含めた対応を決定。
2021年12月16日 イベントペイでクレジットカード決済を停止。
2021年12月17日 第三者機関の調査開始。
同日 クレジットカード会社から追加で不正利用懸念の連絡。
2021年12月28日~2022年1月5日 会費ペイを含む3つのサービスでのクレジットカード新規決済停止。
2021年12月29日 メタップスペイメントの4つのサービスで不正アクセスによる流出懸念発生をサイト管理者へ連絡。調査を開始していることを一部の加盟店に連絡。
2022年1月5日 一部アプリケーションでSQLインジェクションの脆弱性悪用を確認。
2022年1月8日 社内管理システムへの不正ログイン、一部アプリケーションのSQLインジェクションの対策完了。
2022年1月21日 フォレンジック調査の過程で情報流出懸念を強める事象を新たに確認。
2022年1月24日 不正ファイル(バックドア)の存在を確認。
2022年1月25日 トークン方式のクレジット決済サービスを全て停止。
同日 不正ファイル(バックドア)の全削除完了。
同日 メタップスペイメントが不正アクセス被害を公表。
2022年2月8日 メタップスペイメントが第三者機関よりフォレンジック調査の最終報告書を受領。
2022年2月18日 メタップスペイメントが警察へ被害申告。
2022年2月28日 メタップスペイメントが不正アクセスによる情報流出を公表

公式発表

メタップスペイメント
メタップス

サービス利用元からの案内や注意喚起

今回の件を受けて金融機関や同社サービスを利用していた組織から案内が行われている。以下は見かけたもの。

利用組織関連
日本生命保険 [PDF] お客様情報の漏えいに関するお知らせとお詫び
日本赤十字社 オンライン寄付の決済サービス会社における情報流出に関する報告
福山市 決済サービス会社における情報流出の可能性に関するお知らせとお詫びについて
滋賀県 【ここクーポン】ご利用者様情報の流出に関するお知らせとお詫び
横浜市 【重要】本市給食費等徴収事務委託先での不正アクセス事故について
有機合成化学協会 【重要なお知らせ】イベントペイ クレジットカード情報漏洩について
日本賃貸住宅管理協会 決済サービス会社における情報流出について
日本数学検定協会 委託先における外部からの不正アクセスの発生と「イベントペイ」ご利用者のクレジットカード情報流出に関するお詫びとお知らせ
日本火災学会 (ご注意)イベントペイ クレジットカード不正利用疑いについて
日本薬物動態学会 メタップスペイメント社でのクレジット等決済情報流出について
北海道言語聴覚士会 【重要なお知らせ】イベントペイ利用者のクレジットカード情報の漏洩懸念についてのお詫び
神奈川県作業療法学会 第18回神奈川県作業療法学会で使用したオンライン決済会社での情報流出について(2月27日)
東京都病院薬剤師会 「イベントペイ」不正アクセスによる情報流出について
世田谷区スポーツ振興財団 決済サービス会社における情報流出及び情報流出の可能性に関するお知らせとお詫び
広島県精神保健福祉士協会 ※協会より緊急のお知らせ
富山県臨床工学技士会 【重要】(第3報) 不正アクセスによる情報流出に関するご報告とお詫びについて
パブリックヘルスリサーチセンター [PDF] 決済サービス会社における情報流出に関するご報告
建築物価調査会 [PDF] お客様情報の漏えいに関するお知らせとお詫び
中性脂肪学会 【第2報】イベントペイ情報流出の可能性について
日本医療保険事務協会 決済サービス会社におけるクレジットカード情報流出懸念のご報告
全国建設研修センター PDF] 令和3年度 受検手数料支払いに係るクレジットカード決済サービス会社における情報流出に関する報告
全国エネルギー管理士連盟 新着情報 2022年3月1日に記載
日本ロボット協会 イベントペイ クレジットカード情報流出疑いについて
日本呼吸ケア・リハビリテーション学会東北支部学術集会 【重要なお知らせ】イベントペイ クレジットカード情報の漏洩について
草加市スポーツ協会 参加申込みシステムのトラブルについて
藤沢市みらい創造 インターネット申込による教室参加の皆様へ
ビジネス選択理論能力検定 決済サービス会社における情報流出懸念についてのご案内
フランス語教育振興協会 決済サービス会社におけるクレジットカード情報流出に関するご報告とお詫び
AKB48グループチケットセンター 決済サービス会社における情報流出のご案内
SCRAP 決済サービス会社における情報流出懸念に関してのご案内
デジタルSKIPステーション 決済サービス会社における情報流出のお詫びとご案内
KBCシネマ オンライン決済サービス会社における情報流出のご報告
CINEMA CITY 【重要】決済サービス会社におけるクレジットカード情報流出懸念のご報告
第七藝術劇場 オンラインチケットの決済サービス会社における情報流出に関するご報告とお詫び
アセットナビ 決済サービス会社における情報流出のお詫びとご案内
アップリンク 【重要なお知らせ】オンラインチケット一時停止のお詫びと会員期限120日延長のお知らせ
アップル オンライン決済サービス会社における情報流出に関する報告
コスモ石油マーケティング 株式会社メタップスペイメントの情報流出に関する発表について
シーメンスヘルスケア Webセミナーにおけるクレジットカード決済に関する重要な知らせ
スマイルゴルフ24 弊社使用の収納代行サービス会費ペイにおける不正アクセスに関する調査状況とお詫び(クレジットカード会員様対象)
やる気スイッチグループ [PDF] クレジットカード情報の流出懸念に関するお詫びとお知らせ
メジカルビュー社 2021年開催のウェブセミナーお申し込みの決済サービス会社における情報流出に関するご報告とお詫び
メディバンクス 委託先における外部からの不正アクセスの発生と 「イベントペイ」ご利用者のクレジットカード情報流出に関する お詫びとお知ら
ネイルステーション 会費ペイ不正アクセス調査結果報告とご案内
ペルソナ [PDF] 株式会社メタップスペイメントより、不正アクセスによる個人情報流出に関する発表について
ブラーゼンサポーターズクラブ 【重要】サポーターズクラブ決済サービスにおける情報流出のご案内
ケンゾー エステイト メール型クレジット決済サービス会社への不正アクセスに伴う情報流出の可能性に関するご報告
ナチュラルスピリット ワークショップご参加者様の決済サービス会社における情報流出に関するご報告
ワンダーライフ 【重要なお知らせ】 入居費用/決済サービス会社における情報流出の件
ルアナ東京 お詫びと、ご予約方法変更のお知らせ
COBLIN 【オンラインショップ】「株式会社メタップスペイメント」の不正アクセスに関する報道について
EDUCOM イベントペイ クレジットカード不正利用疑いと決済機能の一時停止について
EDUWARD Press 決済サービス会社「株式会社メタップスペイメント」における 不正アクセスによるお客様情報の流出について
”R” WORLD クレジットカード決済サービス会社における情報流出に関する報告
JM Ortho 決済サービス会社からの情報流出(懸念)のご案内
LASTONEMILE 【重要】決済サービス会社におけるクレジットカード情報流出懸念のご報告
QIX 【重要】決済サービス会社「株式会社メタップスペイメント」における不正アクセスによるお客様情報の流出について
日専連ジェミス 株式会社 メタップスペイメントの情報流出について
鉄人会グループ 「会費ペイ」不正アクセスによる情報漏洩につきまして【クラスアップ答練会】
NSフィットネス 当社決済サービス会社における情報流出について(会費ペイ)
RE:BIRTH GOLF STUDIO インドアゴルフ練習場 会費ペイによるクレジット決済停止のお知らせ
WOOC 決済代行サービス(会費ペイ)の不正アクセスに関するお詫びとご報告
DADA 決済サービス「会費ペイ」における情報流出に関するお知らせ
VICTOIRE広島 【申し込み・決済システムに関するお詫び】
ホテルヴィフォンテーヌ クレジットカード情報の流出懸念に関するお知らせとお詫び
ホテルヴィスキオ尼崎 【重要なお知らせ】不正アクセスによる個人情報流出に関する株式会社メタップスペイメントの発表について
東京ベイ舞浜ホテル ファーストリゾート [PDF] 弊社公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
川崎日航ホテル 【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ホテル日航奈良 ホテル公式宿泊予約サイトにおける クレジットカード決済システムへの不正アクセスの疑いについて
JR 九州ホテルズ [PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
JR西日本ホロニック [PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
JR西日本ホテルズ 「株式会社メタップスペイメント」における 不正アクセスによるクレジットカード情報流出に関する発表について
ホテルフォルクローロ花巻東和 「株式会社メタップスペイメント」における 不正アクセスによるクレジットカード情報 流出 に関する発表について
ホテル日航アリビラ 【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社 への不正アクセスについて
ホテル日航立川 [PDF] 【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ホテル日航つくば 【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて(2022.2.28)
ホテルグランヴィア岡山 [PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
盛岡ターミナルビル [PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
The Okura Tokyo [PDF] 【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ジェイアール東海ホテルズ [PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
ロイヤルパークホテルズ 【重要】情報流出に関する株式会社メタップスペイメントの発表について
ホテルニューグランド イベントペイをご利用のお客様へ
レンブラントホテル海老名 クレジットカード決済代行会社から情報流出懸念に関するお知らせ
ホテルヴィスキオ富山 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
和歌山ターミナルビル [PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
KDHR Apartment クレジットカード決済サービス会社における情報流出に関する報告
Casa 決済サービス会社における情報流出のお詫びとご案内
まちペイサービス 当社のクレジットチャージサービスの委託先におけるクレジットカード情報の流出懸念のご案内
ZUTOMAYO PREMIUM登録時クレジットカード決済サービス会社における情報流出の懸念(対象期間:21.10.14-22.1.25)
Sakura 【重要なおしらせ】決済サービス会社における情報流出の関する報告
高島屋ファイナンシャル・パートナーズ 「メタップスペイメント」におけるお客様情報流出について
トレーニングジムRECON 決済サービス会社における情報流出について
アパルトマン [PDF] 決済サービス会社における情報流出のご案内
NS フィットネス [PDF] 当社決済サービス会社における情報流出について(会費ペイ)
金融機関関連
イオン銀行 株式会社メタップスペイメントにおけるお客さま情報の流出について
株式会社メタップスペイメントにおけるお客さま情報の流出について(続報)
ゆうちょ銀行 株式会社メタップスペイメントの情報流出に関する発表について
楽天銀行 決済サービス会社「株式会社メタップスペイメント」における不正アクセスによる情報流出について
北洋銀行 [PDF] 株式会社メタップスペイメントの情報流出に関する発表について
愛和銀行 株式会社メタップスペイメントの情報流出に関する発表について
滋賀銀行 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
名古屋銀行 [PDF] 株式会社メタップスペイメントの情報流出に関する発表について
常陽銀行 [PDF] 株式会社メタップスペイメント決済データセンターでの個人情報流出について
十六銀行 [PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
じぶん銀行 【株式会社メタップスペイメントにおける個人情報流出について】
スルガ銀行 株式会社メタップスペイメントの不正アクセスによる個人情報流出に関する対応について
三井住友カード 株式会社メタップスペイメントの不正アクセスによる個人情報流出に関する対応について
三菱UFJニコス [PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について(その2)
ろうきん 決済代行会社「㈱メタップスペイメント」におけるお客さま情報流出について
auPay カード 株式会社メタップスペイメントにおける個人情報流出について
AOYAMAカード 株式会社メタップスペイメントの個人情報流出の可能性について
OKBカード [PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
エポスカード 決済代行会社「メタップスペイメント」におけるお客さま情報流出について
ニッセンレンエスコート 決済代行事業者「株式会社メタップスペイメント」における個人情報流出について
ニッセン・クレジットサービス 決済代行会社「メタップスペイメント」におけるお客さま情報の流出について
ビューカード 株式会社メタップスペイメントにおける情報流出に関する発表について
セブンCSカードサービス 決済代行会社「メタップスペイメント」におけるお客さま情報流出について
いよてつカードサービス [PDF] 株式会社メタップスペイメントにおけるお客様情報流出について
エムアイカード 株式会社メタップスペイメントにおける不正アクセスによるお客さま情報流出について
ライフカード [PDF] 「株式会社メタップスペイメント」における個人情報流出の可能性について(2)
オーシー [PDF] 株式会社メタップスペイメントの情報流出に関する発表について
楽天カード 決済サービス会社「株式会社メタップスペイメント」における不正アクセスによる情報流出について
愛銀ディーシーカード [PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
京都クレジットサービス 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
京阪カード 株式会社メタップスペイメントの決済データセンターでの個人情報流出について(その2)
東武カード 決済代行会社「メタップスペイメント」におけるクレジットカード情報流出および本事案に乗じたフィッシングメール・SMSについて
ジャックス [PDF] 株式会社メタップスペイメントにおけるお客様情報流出の可能性について(続報)
日専連ホールディングス 株式会社メタップスペイメントの情報流出に関する発表について
中部しんきんカード 株式会社メタップスペイメントの情報流出に関する発表について
四国しんきんカード 株式会社メタップスペイメントの情報流出に関する発表について
めぶきカード [PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
小田急 株式会社メタップスペイメントの情報流出に関する発表について【2022年3月2日情報追加】
Nexus Card 「株式会社メタップスペイメント」における不正アクセスによる個人情報流出について(その2)
J-WESTカード 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
JR西日本 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
九州カード 株式会社メタップスペイメントの不正アクセスによる個人情報流出に関する対応について
出光クレジットカード 決済代行会社「メタップスペイメント」におけるお客様情報流出について
百五カード [PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
クレディセゾン 決済代行会社「メタップスペイメント」におけるお客様情報流出について
JAL 「株式会社メタップスペイメント」でのお客さま情報流出について
JCB 株式会社メタップスペイメントの情報流出に関する発表について
JFRカード 決済代行会社「メタップスペイメント」におけるお客様情報流出について
りゅうぎんDC 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
アコム 株式会社メタップスペイメントの決済データセンターでの個人情報の流出について
株式会社メタップスペイメントの決済データセンターでの個人情報の流出について(その2)
Kyash 株式会社メタップスペイメントの不正アクセスによる個人情報流出に関する対応について

更新履歴

  • 2022年3月4日 PM 新規作成

*1:セキュリティコードは「短期間保持していた」 メタップス不正アクセス問題の経緯を同社に聞く,ITmedia,2022年3月2日