委託先における外部からの不正アクセスの発生と
「イベントペイ」ご利用者のクレジットカード情報流出に関する
お詫びとお知らせ
この度、弊会の一部コンテンツの支払いに使用しておりました決済代行サービス「イベントペイ」(以下「本決済サービス」といいます。)において、外部からの不正アクセスが発生し、ご利用なされた方の個人情報が流出した可能性が判明いたしました。
本決済サービスの運営会社である株式会社メタップスペイメント(以下「MP社」といいます。)の報告によりますと、弊会に関しては、本決済サービスでクレジットカード決済をご利用なされた一部の方の情報が流出した可能性があるとされており、「イベントペイ」をご利用のみなさまには、たいへんなご心配、ご迷惑をおかけし、深くお詫び申し上げます。
本決済サービスは、個人情報保護マネジメントシステムに基づくPマーク取得事業者であるMP社が運営するものです。このため、弊会ではクレジットカードに関する情報を保有しておらず、弊会からの流出はございません。また、本決済サービスのうちクレジットカード決済はMP社によってすでに停止されております。
不正アクセスの状況と調査経緯の詳細につきましては、MP社の以下のページをご覧ください。
不正アクセスによる情報流出に関するご報告とお詫び
1.MP社の調査報告書による個人情報の流出状況
(1)原因
MP社の決済データセンターサーバ内に配置された一部のアプリケーションの脆弱性を利用され、不正アクセスが行われました。攻撃は2021年8月2日から2022年1月25日にわたって以下の事項が複合的に行われ、決済情報等が格納されているデータベースにまで達し、個人情報を含む情報が外部に流出したことが判明いたしました。
なお、現時点におきましては、各事項(ア)~(ウ)の防止や排除等の対策は完了しております。
- (ア)社内管理システムへの不正ログイン
- (イ)一部アプリケーションへのSQLインジェクション
- (ウ)不正ファイル(バックドア)の設置
(2)情報流出の可能性のあるお客様
2021年10月14日から2021年12月16日までの期間中に本決済サービスをご利用なされたお客様
※なお、MP社において第三者機関による調査を行いましたが、不正に取得された件数・個別のクレジットカード情報が特定されなかったため、該当の期間に行われたクレジットカード決済を利用された方の取引全件が対象となります。よって「全件が実際に流出した対象」という確証はなく、あくまで「全件が流出した懸念がある対象」とのことです。
※すでに流出原因に対する対策は実行しているため、対象期間より後の取引についての情報流出の心配はないとのことです。
(3)流出した可能性のある情報の項目
・クレジットカード番号
・有効期限
・セキュリティコード
2.公表が本日になった経緯
MP社から「全てのお客様の情報が漏れたわけではない」、「日本クレジット協会からも、不確定な情報の公開はいたずらに混乱を招き、関係者様へのご迷惑を最小限に食い止める対応の準備を整えてから情報開示を行うよう求められている」旨の説明があり、弊会は、これを受けて専門家との協議のうえ、本件に関する弊会からの公開にあたっては、MP社の調査報告書による正確な情報を確認したうえで行うことにいたしました。
本日の公開までにお時間を要しましたこと、深くお詫び申し上げます。
3.ご利用なされた方へのお願い
誠に恐縮ではございますが、クレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。
万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問い合わせくださるよう、あわせてお願い申し上げます。
なお、カード会社へお問い合わせの際は、スムーズなお手続きのため「メタップスペイメントの不正アクセスの件」である旨をお申し出いただきますようあわせてお願いいたします。
なお、お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはご負担をお掛けしないよう、MP社よりクレジットカード会社に依頼しております。
4.弊会における再発防止策ならびに本決済サービスの再開について
弊会は、この度の事態を厳粛に受けとめ、委託先であるMP社に対して再発防止徹底を強く要請するとともに、委託先の事故ではありますが内部のシステムのセキュリティ対策および監視体制を再確認いたします。
また、今後は本決済サービスのクレジットカード決済についてはMP社からの報告を精査し、運用を再開するか否か判断する予定ですが、その報告内容によっては委託先の見直しを図ることも検討いたします。
なお、本決済サービスはすでに停止しており、それ以後の情報漏洩は確認されておりません。
5.本件に関するお問い合わせ窓口
情報流出の経緯・原因・対策の説明などについては、下記のMP社お客様電話窓口にご連絡をお願いいたします。
≪MP社お客様電話窓口≫
電話番号:
0120-816-620(フリーダイヤル)
受付時間:
365日(土日祝日も対応)9:00~21:00
フォーム:
お問い合わせフォーム
案内内容:
情報流出の経緯・原因・対策の説明、お客様へのお願い事項に関する説明
≪各カード会社連絡先≫
電話番号 :
カード裏面に記載されている連絡先
受付時間 :
カード会社によって異なります。
案内内容 :
不正利用確認、カード再発行、カード利用停止に関するご説明
あらためまして、この度はご迷惑、ご心配をおかけする事態となりましたこと、心からお詫び申し上げます。