クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。
流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。
同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。1月25日までに各種対策を施した上で、クレジット決済サービス「トークン方式」を全停止した。2月18日には警察に被害届を提出している。
同社は1月25日に第1報を発表。その際には、不正アクセスの原因や流出の内容は調査中としていた。
メタップスペイメントは、外部の専門家を含む再発防止委員会を設置。今回の事態を引き起こすに至ったガバナンスや組織、社員意識などの問題について議論し、4月をめどにとりまとめるとしている。クレジットカード決済事業社向け情報セキュリティ基準「PCI DSS」に基づいたセキュリティ評価も再度実施する。
https://www.itmedia.co.jp/news/articles/2202/28/news099.html
セキュリティ対策は最も削られる部分だからな
現場がヤバいからしっかり対策すべきだと言っても
上は時間も費用も出さずにやれと言うだけ
事故らないほうがおかしい
>>1
> 22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。
今どきSQLインジェクションされるジャップセキュリティ
>>6
フロントエンドエンジニアばっかで
鯖の開発者も構築・運用者も不足してるんだよ
あとクラウド化やフレームワークで簡単になったように見えて
痒い所に手を出すとうっかり穴開けちゃう罠
sqlインジェクションの対処法は確立されてるし、不正ログインはvpnをはる仕組みとvpnをはる際に端末内の電子証明書を認証する仕組みで回避できるような。他にやらないといかんことがあるなら教えてくれ。
バックドアに関してはそもそも上の対策をしていれば内部犯行以外では出来なそう。
クレカなら引き落とし前に明るみに出れば銀行口座は無害だがデビットは銀行口座から金が無くなるから何かあれば実害が…
決済用口座作ってその枠内でデビットってことやろ
デビッドでも不正利用されたら返金というか補償してもらえるよ
実際昨年から被害出てるし
自分の都合だと1000円くらい手数料かかるっていわれことあるけど
めんどくさ
どこから漏れたのか分からないが以前不正利用された時は無料で新しいカードと番号になったよ
リリース元が加盟店一覧を出してない、見た限り
だから漏れたかどうかわからん
だからこっちの都合ということになって手数料払わされるんじゃないかと思う
まあ、どっちでもええわ千円くらい
後々の面倒の方がしんどい
クレカの登録者への連絡や不正利用被害補償はちゃんとやれよ?
また薄給エンジニアが知恵働かしちゃったのかな
都度、手間を取られて本当にうんざり
クレカの情報流出は後々被害がでかいことと、被害にあった場合の対処に時間がとられすぎる(必ず補償されるともかぎらない)
日頃使てるクレカの限度額はもう30万まで引き下げてる
つい最近引き下げた。最近もどっかが流出させて対象者となったから
とにかく面倒が起きた時に捨て置ける額として
そしてまたこれ
ほんとうんざりやな。即時決済サービスの方がええかもしれんなあ
いずれにしてもこんなことじゃもうクレカなんかつかえない
ふざけんなよまじで
売買はしてないが。
なんだっけな。
雇われ社長が醸し出すポンコツ感すげーわ。
番号変え放題の仮想クレカみたいな奴作って使ったわ
手数料タケーのな。背に腹だから仕方ないけど。
毎月明細おくってもらうのに金とるのに、注意喚起もなにも書いてなかった
ほんとカード会社もなめとんな
積極的に告知する気まるでなしやん
マジでむかついた
IT(AI)、セキュリティ、クリーンエネルギー
この三つが次世代のビジネスなのに
日本さんは真逆だからなぁ。
既得権益が強い国ほど、出遅れる。
ロシアもそう。
今のロシアが日本の将来になりそうな予感。
クレカ情報流出の恐れで謝罪企業続々 AKB、公共施設、赤十字、チケットサイトなど メタップス不正アクセス問題
日本生命でも最大約1.5万件のカード情報流出か メタップス不正アクセス問題の影響で
メタップスペイメントのカード情報漏洩、多くのホテルチェーンも被害
日本赤十字社オンライン寄付の決済サービス会社における情報流出に関する報告|日本赤十字社からのお知らせ|おしらせ・最新
ヤバすぎ笑わせよる
聞いたことのもない会社なのに、大規模な仕事いっぱいしてるやんけ
公共施設ってなんだろ?
ETCとかって大丈夫なのかな
いま、真剣にクレカの無い生活が可能か考えてた
ETCってシステムがまた別なんだろうか?漏れたらクレカとおなじ?
その辺まったくわからん
ただ、クレカはもう極力使わんようにする
即時電子決済サービスはやっぱ使わん
巨大ITに購買履歴はやれん。それがいやでクレカを使ってきたのに
裏切られた
福山市スポーツ協会がリリース出してる
市のスポーツ施設でのテニス教室やヨガ教室や大会参加料の支払いにここのシステム使ってた
悪意を持った技術者にとっては天国のような場所だよ
Webサーバとデータベースは別サーバにする。
基本が何もなってない。
システム自体入られて、インジェクションが通ってんだから
そういう問題じゃないだろ?
基本が何もわかってない。
国防動員法かなんかで己の生命財産が拘束されていたら必死になって“仕事”するわな
本当な。任せるにせよ、権限や仕事を分けることはしないと平和ボケだな。今回がそうかは知らないが。
>社員意識などの問題について議論し、4月をめどにとりまとめる
精神論でなんとかなるもんなの?バカなの?
こりゃ相当責められるよ
遠い国の戦争より深刻だろ
カード発行会社にはつながらないし、メンドクセ。
下げようとしてもできないんよね。まあ、不正利用は補償効くんだろうけど、
下げられるようにならんかな
そもそも、社内システムにバックドアって・・・
社内システムを外部に繋げてる時点でアウトだろ
安いとこはそれなり
なんか仮想通貨関連株でこの企業湧いてた時期あったな
今の株価知らんが
流出してないって言われても不安で番号変えたくなるな
止めてるのがトークン方式だけって事はjs?一体全体どんなつくりになってたんだろう
大手以外で安易にカード利用出来んくなったよ
引用元: ・https://egg.5ch.net/test/read.cgi/bizplus/1646072954/
コメントを残す