【IT】メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か

1: 2022/03/01(火) 03:29:14.86 _USER

クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。

流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。

同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。1月25日までに各種対策を施した上で、クレジット決済サービス「トークン方式」を全停止した。2月18日には警察に被害届を提出している。

同社は1月25日に第1報を発表。その際には、不正アクセスの原因や流出の内容は調査中としていた。

メタップスペイメントは、外部の専門家を含む再発防止委員会を設置。今回の事態を引き起こすに至ったガバナンスや組織、社員意識などの問題について議論し、4月をめどにとりまとめるとしている。クレジットカード決済事業社向け情報セキュリティ基準「PCI DSS」に基づいたセキュリティ評価も再度実施する。
https://www.itmedia.co.jp/news/articles/2202/28/news099.html

4: 2022/03/01(火) 03:38:13.62
日本の多重下請け構造で
セキュリティ対策は最も削られる部分だからな
現場がヤバいからしっかり対策すべきだと言っても
上は時間も費用も出さずにやれと言うだけ
事故らないほうがおかしい

 

6: 2022/03/01(火) 03:42:48.92

>>1
> 22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。

今どきSQLインジェクションされるジャップセキュリティ

 

>>6
フロントエンドエンジニアばっかで
鯖の開発者も構築・運用者も不足してるんだよ

あとクラウド化やフレームワークで簡単になったように見えて
痒い所に手を出すとうっかり穴開けちゃう罠

 

>>6
sqlインジェクションの対処法は確立されてるし、不正ログインはvpnをはる仕組みとvpnをはる際に端末内の電子証明書を認証する仕組みで回避できるような。他にやらないといかんことがあるなら教えてくれ。
バックドアに関してはそもそも上の対策をしていれば内部犯行以外では出来なそう。

 

14: 2022/03/01(火) 04:34:34.15
セキュリティコードの保存の危険はだいぶ前から言われてたよね。今はデビットカードにしてるよ

 

>>14
クレカなら引き落とし前に明るみに出れば銀行口座は無害だがデビットは銀行口座から金が無くなるから何かあれば実害が…

 

>>37
決済用口座作ってその枠内でデビットってことやろ

 

>>37
デビッドでも不正利用されたら返金というか補償してもらえるよ

 

17: 2022/03/01(火) 05:12:24.04
形跡消えてるし内部じゃないの?
実際昨年から被害出てるし

 

19: 2022/03/01(火) 05:26:41.63
これ番号変えた方がいいよねきっと
自分の都合だと1000円くらい手数料かかるっていわれことあるけど
めんどくさ

 

>>19
どこから漏れたのか分からないが以前不正利用された時は無料で新しいカードと番号になったよ

 

>>74
リリース元が加盟店一覧を出してない、見た限り
だから漏れたかどうかわからん
だからこっちの都合ということになって手数料払わされるんじゃないかと思う
まあ、どっちでもええわ千円くらい
後々の面倒の方がしんどい

 

22: 2022/03/01(火) 05:36:43.26
>>1
クレカの登録者への連絡や不正利用被害補償はちゃんとやれよ?

 

27: 2022/03/01(火) 06:07:59.01
SSLで通信を暗号化しても意味ないじゃん

 

29: 2022/03/01(火) 06:15:04.14
セキュリティコードがそういう風になるってのはそれ目的にそうできる仕組みにしとかないとできない気がするんだが?
また薄給エンジニアが知恵働かしちゃったのかな

 

35: 2022/03/01(火) 06:30:46.64
ここ数年、クレジットカードで決済してることで問題多発
都度、手間を取られて本当にうんざり
クレカの情報流出は後々被害がでかいことと、被害にあった場合の対処に時間がとられすぎる(必ず補償されるともかぎらない)
日頃使てるクレカの限度額はもう30万まで引き下げてる
つい最近引き下げた。最近もどっかが流出させて対象者となったから
とにかく面倒が起きた時に捨て置ける額として
そしてまたこれ
ほんとうんざりやな。即時決済サービスの方がええかもしれんなあ
いずれにしてもこんなことじゃもうクレカなんかつかえない
ふざけんなよまじで

 

36: 2022/03/01(火) 06:31:31.02
メタックソとか言ってクソ株扱いしてた記憶あるな。
売買はしてないが。
なんだっけな。
雇われ社長が醸し出すポンコツ感すげーわ。

 

42: 2022/03/01(火) 06:38:10.18
ワイも最近、アリエク決済用にvプリカって言う
番号変え放題の仮想クレカみたいな奴作って使ったわ
手数料タケーのな。背に腹だから仕方ないけど。

 

44: 2022/03/01(火) 06:49:35.32
社長が元スクエニの和田洋一だからぁ

 

46: 2022/03/01(火) 06:51:59.55
ほんとむかつくな
毎月明細おくってもらうのに金とるのに、注意喚起もなにも書いてなかった
ほんとカード会社もなめとんな
積極的に告知する気まるでなしやん
マジでむかついた

 

48: 2022/03/01(火) 06:52:51.46

IT(AI)、セキュリティ、クリーンエネルギー

この三つが次世代のビジネスなのに
日本さんは真逆だからなぁ。
既得権益が強い国ほど、出遅れる。
ロシアもそう。

今のロシアが日本の将来になりそうな予感。

 

50: 2022/03/01(火) 07:03:11.79

クレカ情報流出の恐れで謝罪企業続々 AKB、公共施設、赤十字、チケットサイトなど メタップス不正アクセス問題
日本生命でも最大約1.5万件のカード情報流出か メタップス不正アクセス問題の影響で
メタップスペイメントのカード情報漏洩、多くのホテルチェーンも被害
日本赤十字社オンライン寄付の決済サービス会社における情報流出に関する報告|日本赤十字社からのお知らせ|おしらせ・最新

ヤバすぎ笑わせよる

 

>>50
聞いたことのもない会社なのに、大規模な仕事いっぱいしてるやんけ

 

>>50
公共施設ってなんだろ?
ETCとかって大丈夫なのかな
いま、真剣にクレカの無い生活が可能か考えてた
ETCってシステムがまた別なんだろうか?漏れたらクレカとおなじ?
その辺まったくわからん
ただ、クレカはもう極力使わんようにする
即時電子決済サービスはやっぱ使わん
巨大ITに購買履歴はやれん。それがいやでクレカを使ってきたのに
裏切られた

 

>>53
福山市スポーツ協会がリリース出してる
市のスポーツ施設でのテニス教室やヨガ教室や大会参加料の支払いにここのシステム使ってた

 

52: 2022/03/01(火) 07:10:39.32
日本のIT業界なんて日本語さえ話せれば誰でもウェルカム
悪意を持った技術者にとっては天国のような場所だよ

 

62: 2022/03/01(火) 07:52:24.58
データベースは、暗号化して保存。
Webサーバとデータベースは別サーバにする。
基本が何もなってない。

 

>>62
システム自体入られて、インジェクションが通ってんだから
そういう問題じゃないだろ?
基本が何もわかってない。

 

66: 2022/03/01(火) 07:59:12.05
優秀だからというだけで安易に外国人を雇ってしまう平和ボケ日本
国防動員法かなんかで己の生命財産が拘束されていたら必死になって“仕事”するわな

 

>>66
本当な。任せるにせよ、権限や仕事を分けることはしないと平和ボケだな。今回がそうかは知らないが。

 

68: 2022/03/01(火) 08:04:13.98
>今回の事態を引き起こすに至ったガバナンスや組織、
>社員意識などの問題について議論し、4月をめどにとりまとめる
精神論でなんとかなるもんなの?バカなの?

 

72: 2022/03/01(火) 08:06:44.33
やってしまいましたな
こりゃ相当責められるよ

 

77: 2022/03/01(火) 08:12:33.18
日本人にキャッシュレスはまだ早かったな

 

83: 2022/03/01(火) 08:51:40.00
これは大問題になるぞ
遠い国の戦争より深刻だろ

 

86: 2022/03/01(火) 09:01:01.37
ダダ漏れやん、滅茶苦茶やばい事件

 

87: 2022/03/01(火) 09:04:24.37
漏れた会社から連絡があった。
カード発行会社にはつながらないし、メンドクセ。

 

88: 2022/03/01(火) 09:07:38.22
滋賀のクーポン全漏れもこれか

 

90: 2022/03/01(火) 09:24:35.14
なんでセキュリティコードなんて保存してあんの?

 

91: 2022/03/01(火) 09:25:25.86
これからは暗号資産や

 

92: 2022/03/01(火) 09:28:46.37
Amazonカード作ったけど、いきなり両サイド限度額が200万からスタートで、
下げようとしてもできないんよね。まあ、不正利用は補償効くんだろうけど、
下げられるようにならんかな

 

94: 2022/03/01(火) 09:35:53.44

そもそも、社内システムにバックドアって・・・

社内システムを外部に繋げてる時点でアウトだろ

 

96: 2022/03/01(火) 09:54:27.68
決済代行会社選びは慎重にしないとな
安いとこはそれなり

 

98: 2022/03/01(火) 10:15:30.99
ダメップスだったか…
なんか仮想通貨関連株でこの企業湧いてた時期あったな
今の株価知らんが

 

100: 2022/03/01(火) 10:20:24.00
まさに該当のサイトでクレカ使ったことあったけど指摘されてる期間だけ奇跡的に使用してなかった
流出してないって言われても不安で番号変えたくなるな

 

104: 2022/03/01(火) 10:29:09.59
いくら加盟店側がトークン方式でカード番号非保持とかシステム対応しても管理元がこれじゃ意味ねぇな
止めてるのがトークン方式だけって事はjs?一体全体どんなつくりになってたんだろう

 

111: 2022/03/01(火) 11:08:12.45
俺も以前クレカ情報不正利用されて大変な目にあったわ
大手以外で安易にカード利用出来んくなったよ

 

119: 2022/03/01(火) 11:34:17.25
スパイ防止法未だに作らない流失させまくり(笑)

 

120: 2022/03/01(火) 11:34:42.65
小さい通販サイトで決済で別のサイトに飛ばされるやつか

 

引用元: ・https://egg.5ch.net/test/read.cgi/bizplus/1646072954/





コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です