クレジットカード情報の大量漏洩を引き起こしたメタップスペイメント。第三者委員会の調査で脆弱性診断結果の改ざんまで新たに判明した。背景には、ITガバナンスの欠如など多くの企業に共通する課題がある。
不正アクセスで最大約46万件のクレジットカード情報を漏洩させた可能性があると2022年2月に発表した決済代行会社のメタップスペイメントに対し、経済産業省は6月30日付で割賦販売法に基づく改善命令を出した。サイバー攻撃の被害者である同社に行政処分を下すという異例の措置だ。
メタップスペイメントによれば、攻撃者は2021年8月ごろから複数の手口を組み合わせて同社の決済システムに繰り返し侵入していた。直接の原因はセキュリティー対策の不備だが、第三者委員会の調査ではシステムの脆弱性診断の結果を改ざんして監査機関に提出していたなど、驚くべき事実も発覚している。背景には、ITガバナンスの欠如や人材不足、社内ルールが形骸化しやすい組織風土などがある。企業はいま一度、自社のガバナンス体制や組織風土に重大なリスクが潜んでいないか、見直す必要がある。
複数のアプリで脆弱性突かれる
メタップスペイメントの社内システムは大きく分けて2種類ある。カード決済やコンビニ決済、電子マネー決済の処理を担うオンプレミス環境の「決済システム」と、チケット販売や会員管理などのWebアプリケーションを加盟店向けに提供するクラウド上の「フロントシステム」だ。ただし、従業員がインターネット経由で決済システムのデータベースを照会するためのWebアプリ「社内用決済管理画面」(以下、K管理画面)や、特定の加盟店向けに開発したWebアプリ「一般社団法人A会員向け申込みフォーム」(以下、A社アプリ)も、オンプレミス環境で決済システムと同居させていた。このことが、決済システムが攻撃を受けるきっかけの1つになった。
主な攻撃対象となったのはK管理画面とA社アプリだ。攻撃者は、K管理画面の脆弱性を突いて従業員のWebブラウザーに不正なスクリプトを実行させるクロスサイトスクリプティング攻撃を実施した。これによりIDやパスワードを窃取してK管理画面に不正にログインし、データベースの検索でカード番号を自由に照会できる状態にした。一方のA社アプリに対しては、Webサイトの入力フォームに不正なSQL構文を入力してWebアプリが使うデータベースを不正操作するSQLインジェクション攻撃を仕掛けた。これにより決済システムのデータベースから、暗号化されたカード番号やマスクされたカード番号、A社アプリの管理画面用IDとパスワードを取得。マスクされたカード番号をK管理画面で照会すれば平文で全桁のカード番号を把握できるようにした。
攻撃者は別経路でも決済システムに侵入していた。A社アプリの管理画面にあったファイルのアップロード機能を悪用してバックドア(裏口)をオンプレミス環境内に設置。そこから暗号化されたカード番号や復号鍵など、決済システムのデータベースに保存された全ての情報を取得したとみられる。
