全1518文字
著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は、3件のトピックを取り上げる。メタップスペイメントの決済サービス停止と個人情報保護委員会の個人情報流出、キャリアインキュベーションの個人情報流出である。
アプリケーションの脆弱性を突かれる
メタップスペイメントは2022年1月25日、クレジットカード決済システムが不正アクセスを受け、情報が流出した可能性があると発表した。
不正アクセスに関するおわび
(出所:メタップスペイメント)
同社は2021年12月14日、クレジットカード会社からイベントペイにおいて不正利用の懸念があると連絡を受けた。社内調査ではシステムの問題を発見できなかったが、12月16日にイベントペイの決済を停止し、12月17日に第三者機関によるフォレンジック調査を始めた。
さらに12月28日から2022年1月5日にかけて会費ペイなどイベントペイ以外の3つの決済サービスも停止した。会費ペイなどの決済サービスを利用する企業は2021年の年末から2022年の年始にかけて、クレジットカード決済を一時中止すると相次いで発表した。
不正アクセスを受けたのは決済システムの「トークン方式」で、データベースに格納した一部の情報にアクセスされ、情報が流出した可能性が高いとしている。1月21日夕刻に情報流出の懸念を強める事象が確認されたため、1月25日にはトークン方式を利用するすべての決済サービスを停止した。
侵入経路は決済センター内にある一部のアプリケーションの脆弱性。第三者機関による調査は2022年2月中旬に完了する予定で、調査結果は速やかに公開し、詳細な対応方針や再発防止策を説明するとしている。
メタップスペイメントの発表資料
