セキュリティブログ
【メタップス/行政処分】クレジットカード番号等取扱業者に対する行政処分を行いました
2022.07.01
サイバー攻撃の「被害者」であるメタップス・ペイメントが、「セキュリティ対策が不十分であった」などの理由で、経産省から改善命令を受けました。
※以下処分理由の一部を引用
※クレジットカード番号等取扱業者に対する行政処分を行いました/経済産業省/2022年6月30日
3.処分理由
同社に対して行った法第40条の規定に基づく報告徴収命令に対する同社からの報告等から、以下の法第35条の16第1項に基づくクレジットカード番号等の適切な管理に違反している事実が確認された。
- 同社は、加盟店に対して、顧客がクレジットカード決済により当該加盟店から購入した商品の代金又は提供を受けた役務の対価に係る立替金の交付を立替払取次業者から受け、当該加盟店に交付している。また、同社は、加盟店において顧客が決済に用いたクレジットカード番号等を立替払取次業者に提供している。したがって、同社は法第35条の16第1項第4号及び第7号に規定する事業者に該当する。
- 同社のクレジットカード決済システム内のアプリケーションの脆弱性を起因とし、第三者による、自社システム内のクレジットカード番号を閲覧するための管理画面への不正ログインのほか、SQLインジェクション攻撃及びバックドアの設置を実施されたことにより、令和3年10月から令和4年1月の間、当該クレジットカード決済システム内のデータベースに保存していた暗号化されたクレジットカード番号(マスキングされたクレジットカード番号を含む。)、有効期限、セキュリティコード及びこれらを復号化するための復号鍵が窃取され、また、クレジットカード番号が不正に閲覧されることにより、クレジットカード番号等が漏えいした。漏えいの対象となったクレジットカード番号等が保存されていたデータベースのテーブルは2つあり、それぞれ460,395件、2,415,750件の暗号化されたクレジットカード番号等が保存されていた。
※引用ここまで
「不正ログインのほか、SQLインジェクション攻撃及びバックドアの設置」が原因で本件発生したとのことです。
上記はWAFの導入やIP制限など基本的なセキュリティ対策でリスクを軽減することができます。
当社WAF製品イージスには、Webサイトへのサイバー攻撃のブロックに加え、どのようにセキュリティ対策をすべきかが月次レポートに記載される「セキュリティアドバイスプラン」もご提供しております。
イージス等で最低限のセキュリティ対策を実施頂きたいと考えるものです。