メタップスペイメントで起きたカード情報流出の経緯とは　PCI DSS準拠が必要な企業はセキュリティ見直しを

2022年1月25日、株式会社メタップスペイメントは「不正アクセスに関するご報告とお詫び」^※1 にて、自社の運営するクレジットカード決済システム『トークン方式』へのデータベースに対して不正アクセスがあり、トークン方式を全面停止したことを公表しました。 続いて同年2月28日、「不正アクセスによる情報流出に関するご報告とお詫び」^※2 として、前述の不正アクセスにより、決済情報等が格納されているデータベースから個人情報を含む情報が外部に流出したことを明らかにしました。当初、漏洩した可能性のあるクレジットカード情報は最大で約46万件としていましたが、後日、漏洩の対象となったデータベースに保存されていたクレジットカード番号等は約288万件となりました。^※3

その後、同年6月29日に第三者委員会からの調査報告書 ^※4 が公表され、翌日30日には経済産業省から行政処分が行われました。^{※3 ※5} また、翌月の7月13日には個人情報保護委員会から個人情報の保護に関する法律第144条に基づく指導が行われました。^※6 これらに対してメタップスペイメントは業務改善及び再発防止に関する施策を行いました。^※7

そして翌年の2023年1月31日、インシデント対応のため停止していた全てのサービスを順次再開していくことを発表しました。^※8

情報漏洩の要因

上記の第三者委員会からの調査報告書などから情報漏洩の要因をまとめると下記のようになります。

• K管理画面（社内用決済管理画面：クレジットカード番号を閲覧するための管理画面）のアカウント情報の取得及び不正アクセス

K管理画面のクロスサイト・スクリプティング脆弱性を悪用し、取得した管理者「X氏」のアカウント情報（UserID、パスワード等）を使ってK管理画面に不正アクセス。この「X氏」のアカウント情報を用いた不正操作ではフル桁のカード番号の参照可能な画面に到達しているログがなく、K管理画面の構造などを調べていたと考えられる。その後、「X氏」のパスワード変更によりアクセスが途切れたが、同様の手口を用いて取得した「Y氏」のアカウント情報を用いて再度不正アクセスが行われる。

• A社アプリ（特定の加盟店「一般社団法人A社」向けに開発したWebアプリで、A社会員向け申込みフォームとして稼働）へのSQLインジェクション攻撃

A社アプリに対するSQLインジェクション攻撃により、暗号化されたカード番号、マスクされたカード番号、A社管理画面の管理者アカウント情報を不正取得。

• バックドアプログラムの設置及び攻撃

A社管理画面に不正アクセスを行い、A社アプリの機能でバックドアファイルをアップロード。不正ファイル経由でデータベース内から暗号化されたカード情報を含む当時格納されていたすべての情報を不正取得。
※報告書には記載がないが、経済産業省からの行政処分の処分理由には窃取された情報の中に有効期限、セキュリティコード及びこれらを復号化するための復号鍵と記載があるため、これらが上記の”すべての情報”の中に含まれると考えられる。

• K管理画面への再度の不正アクセス及びカード番号照会開始

「Y氏」アカウント情報を用いて、再度、K管理画面に不正アクセス。攻撃者は上記の攻撃によって取得したマスクされたカード番号を、K管理画面上で検索照会することで、平文のフル桁のカード番号を閲覧することができた。

その後、バックドアとなる対象のプログラムを削除。

サイバー攻撃被害企業への行政処分は異例の措置

メタップスペイメントに対して、経済産業省は割賦販売法に基づく改善命令を出しました。サイバー攻撃被害者となる企業に対し、行政処分が行われるのは異例の措置です。

メタップスペイメントの問題点は多数存在しています。

まず、同社は上記A社アプリを諸事情から東京DCへ移管しましたが、それによりフロント系アプリのA社アプリと決済システムが同じデータベースに格納されてしまったことがあります。更にこの事は関係部署及び職員へ情報共有されていなかったため、移管後に受けたPCI DSS監査において、監査機関に対し移管の事実を伝えておらず、A社アプリが監査の対象とされなかったと指摘されています。

次に、同社はPCI DSSで求められているWEBアプリケーションの脆弱性診断を自社で実施した際に「High」「Medium」レベルの脆弱性が複数検出されていたにも関わらず、報告書ではこれをなかったものに改ざんし監査機関へ提出しています。これは脆弱性をなかったことにすることでメタップスペイメントの決済事業のために必須のPCI DSSの認証を維持しようとした意図が推測されます。これらにより、同社はクレジットカード決済システムがPCI DSS準拠のための適切な措置を講じていなかったと言えます。

その他の問題点について、詳しくは経産省からの報告をご確認ください。

PCI DSS準拠が必須の企業は自社のセキュリティ見直しを

メタップスペイメントは2023年1月の報告で、上記の決済システム及びフロントシステムの双方においてPCI DSS Ver3.2.1への準拠を完了したと発表しました。

現在、PCI DSSはv4.0 を既にリリースしており、移行期間は2024年3月31日までとしています。メタップスのような事業継続のためにPCI DSS準拠が必要な企業は、期間内に新要件へ対応することが求められます。※「ベストプラクティス要件」は2025年3月31日まで。

弊社は『DataClasys』というファイル暗号化システムを提供しています。PCI DSS v4.0の新要件3.5.1.2により、ディスク暗号化では要件を満たさなくなりました。カード番号の読み取り不能を確保するために、ディスク単位の暗号化やDB全体の暗号化は不可となります（リムーバブル電子メディア除く）。そのため、ディスク暗号化からファイル暗号化への移行を検討している企業から多くのお問い合わせをいただいております。

クレジットカード会員データは非常に機微な情報であり、これらを適切に取り扱うための枠組みがPCI DSSです。年々高度化、多様化するサイバー攻撃に備え、クレジットカード会員データを保持する企業はこれに準拠し、バージョンアップにも随時対応していくことが求められます。もしファイル暗号化をご検討される際は、是非弊社までお問い合わせ下さい。

参考

※1 不正アクセスに関するご報告とお詫び | 株式会社メタップスペイメント 2022年1月25日

※2 不正アクセスによる情報流出に関するご報告とお詫び | 株式会社メタップスペイメント 2022年2月28日

※3 クレジットカード番号等取扱業者に対する行政処分を行いました | 経済産業省 2022年6月30日

※4 第三者委員会調査報告書（公表版）| 2022年6月29日

※5 行政処分に関するお知らせ | 株式会社メタップスペイメント 2022年7月1日

※6 個人情報保護委員会からの指導について | 株式会社メタップスペイメント 2022年7月14日

※7 不正アクセスインシデントに関する対応の進捗状況について | 株式会社メタップスペイメント 2022年11月29日

※8 一部停止中の決済サービスの再開について | 株式会社メタップスペイメント 2023年1月31日