決済代行会社のメタップスペイメントで大規模な情報漏洩が起きた。不正アクセスによって、最大約46万人分のクレジットカード情報が漏洩。カード利用者の氏名や電話番号、住所など個人情報も流出した。攻撃者は複数の手口を組み合わせてシステムに侵入。決済情報などを格納するデータベースから情報を盗み出した。
「関係する皆様方に多大なご迷惑をおかけしたことを、心よりおわび申し上げる」。決済代行会社のメタップスペイメントがサイバー攻撃によって最大46万件のクレジットカード情報などを漏洩させた問題で、同社の和田洋一社長は2022年2月28日、自社サイト上で謝罪した。
同社はEC(電子商取引)サイトの運営会社(加盟店)とカード会社など金融機関をつなぎ、クレジットカードや電子マネーなど様々な決済手段を加盟店に提供している。決済に伴う煩雑な業務を一括して請け負うことで、加盟店から手数料などを受け取る。
同社の設立は1999年で、2016年にAI(人工知能)ベンチャーのメタップスの傘下に入った。決済代行会社としては老舗であり、顧客は日本生命保険や日本瓦斯、JTBなどの大手企業から横浜市などの自治体、JR東日本ホテルズやJR西日本ホテルズといった宿泊施設まで多岐にわたる。
顧客層が幅広い分、今回の情報漏洩の被害は深刻だ。クレジットカードの決済情報などを格納しているデータベースが不正アクセスを受けた結果、カード番号や有効期限、セキュリティーコードといった情報が最大46万395件流出した恐れがある。
加えて、コンビニ決済で109件、電子決済サービス「Pay-easy(ペイジー)」で17件、電子マネー決済で33件の情報流出も判明している。流出した情報にはカード利用者の氏名や電話番号、住所、メールアドレスも含まれる。
メタップスペイメントによれば、サイバー攻撃は同社の複数のシステムに対して複合的に行われた。最終的に決済情報を格納しているデータベースのセキュリティーを突破されてカード情報や決済情報、個人情報を盗み出された。
メタップスペイメントはクレジットカードに関する国際セキュリティー基準「PCI DSS」に2008年から準拠するなど、セキュリティーの高さも売りにしていた。にもかかわらず重大な情報漏洩が発生した。どのような攻撃だったのか。同社への取材を基に経緯と手口を見ていこう。
