2022/07/01

多数の被害企業を生んだメタップスペイメント、ずさんな脆弱性管理により、行政処分を受ける。


経済産業省は、2022年6月30日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント(法人番号9011101027550)に対し、同法第35条の17の規定に基づく改善命令を発出しました。

1.事業者の概要

(1)名称:株式会社メタップスペイメント(以下「同社」という。)
(2)代表者:代表取締役 和田 洋一
(3)所在地:東京都港区港南二丁目16番1号 品川イーストワンタワー7階
(4)事業内容:決済代行業等

2.処分内容

割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令

法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。

  1. 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売業者及びクレジットカード等購入あっせん役務提供事業者(以下「加盟店」という。)に対して提供するクレジットカード番号等による決済を可能とするサービスに係るシステム(以下「クレジットカード決済システム」という。)のうち、同社が保有するシステム(以下「自社システム」という。)について、クレジットカード番号等の漏えい事故の発生を防止するため必要かつ適切な措置として、クレジットカードのデータセキュリティに関する国際的な基準(以下「PCIDSS」という。)を適切に維持し、これを継続的に運用すること、及び、令和3年10月から令和4年1月までの間に発生したクレジットカード番号等の漏えい事故と類似の事故の再発を防止するため、第三者機関の検証を踏まえた再発防止策を速やかに策定し、実施すること。

  2. 同社のクレジットカード決済システムのうち、PCIDSS準拠を含むクレジットカード番号等の漏えい事故の発生を防止するため必要かつ適切な措置を講じていないものを確認し、当該措置を講じていなかった原因究明の結果を踏まえ、適切にPCIDSSを準拠及び維持し、これを継続的に運用することを含むクレジットカード番号等の漏えい事故の発生を防止するため必要かつ適切な措置を速やかに講じること。

  3. 経営陣主導の下、システム及びセキュリティ対策に係る内部統制の強化を図り、同社のクレジットカード決済システムにおけるクレジットカード番号等の漏えい、滅失、毀損その他のクレジットカード番号等の管理に係る事故の発生を防止するため必要かつ適切な措置を講ずること。

  4. PCIDSS監査に際し、監査機関に提出する報告書の改ざん等の不適正な業務の遂行を排除するため、クレジットカード番号等取扱業者としての健全な組織風土を醸成するとともに、内部監査機能の強化や業務の属人化の解消等の抜本的な業務運営体制の再構築を行い、第三者機関による業務運営の適正性の検証及び必要に応じた改善を行うこと。

  5. 今般のクレジットカード番号等の漏えい事故の発生原因等を踏まえ、経営責任の所在を明確化するとともに、クレジットカード番号等の適切な管理に必要な経営体制の見直しを行うこと。
3.処分理由

同社に対して行った法第40条の規定に基づく報告徴収命令に対する同社からの報告等から、以下の法第35条の16第1項に基づくクレジットカード番号等の適切な管理に違反している事実が確認された。
  1. 同社は、加盟店に対して、顧客がクレジットカード決済により当該加盟店から購入した商品の代金又は提供を受けた役務の対価に係る立替金の交付を立替払取次業者から受け、当該加盟店に交付している。また、同社は、加盟店において顧客が決済に用いたクレジットカード番号等を立替払取次業者に提供している。したがって、同社は法第35条の16第1項第4号及び第7号に規定する事業者に該当する。

  2. 同社のクレジットカード決済システム内のアプリケーションの脆弱性を起因とし、第三者による、自社システム内のクレジットカード番号を閲覧するための管理画面への不正ログインのほか、SQLインジェクション攻撃及びバックドアの設置を実施されたことにより、令和3年10月から令和4年1月の間、当該クレジットカード決済システム内のデータベースに保存していた暗号化されたクレジットカード番号(マスキングされたクレジットカード番号を含む。)、有効期限、セキュリティコード及びこれらを復号化するための復号鍵が窃取され、また、クレジットカード番号が不正に閲覧されることにより、クレジットカード番号等が漏えいした。漏えいの対象となったクレジットカード番号等が保存されていたデータベースのテーブルは2つあり、それぞれ460,395件、2,415,750件の暗号化されたクレジットカード番号等が保存されていた。

  3. 同社は、平成30年6月、同社とコンビニ決済に係る契約を締結していた加盟店にサービスを提供するために開発、運用していたアプリケーション(以下「加盟店向けアプリ」という。)を委託先事業者のシステムから同社のクレジットカード決済システム内に移設している。当該加盟店向けアプリの移設に関しては、代表取締役に稟議が通されており、組織決定されたものではあるが、社内のシステム関係部署及び職員に当該事実について的確に情報共有されていなかった。このため、当該加盟店向けアプリ移設以降に受けたPCIDSS監査において、同社からPCIDSS監査機関に対し、クレジットカード決済システム内に当該加盟店向けアプリが移設された事実を伝えておらず、当該加盟店向けアプリは当該監査の対象とはされなかった。

    また、同社は、平成30年から令和3年の間に実施したPCIDSSで求められているWEBアプリケーション(自社システムの管理画面を含む。)の脆弱性診断を診断ツールを用いて自社で実施し、「High」「Medium」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性診断の報告書ではこれらの脆弱性をなかったものに改ざんし、平成30年から同社が法第35条の16第1項第4号及び第7号に規定する事業者に該当することとなった令和3年のPCIDSS監査に際し、改ざんした報告書を監査機関に提示又は提出していた。

    さらに、同社は令和2年7月から令和3年10月の間に実施したPCIDSSで求められている自社システムのサーバーを対象としたネットワーク脆弱性スキャンをスキャンツールを用いて委託先で実施し、「High」レベルの脆弱性が複数検出されていたにもかかわらず、当該脆弱性スキャンの報告書では、「High」レベルのうちシグネチャ未更新に関する脆弱性をなかったものに改ざんし、令和2年及び同社が法第35条の16第1項第4号及び第7号に規定する事業者に該当することとなった令和3年のPCIDSS監査に際し、改ざんした報告書を監査機関に提出していた。

    なお、WEBアプリケーション脆弱性診断の報告書の改ざんについては、担当職員から情報セキュリティ管理担当役員に報告がなされており、ネットワーク脆弱性スキャンの報告書の改ざんに関しては、情報セキュリティ管理担当役員が改ざん前及び改ざん後の報告書の承認をしていた。しかしながら、これらの役員から他の経営陣に対して、これらの脆弱性が検出された事実及びPCIDSS監査に当たって提出する報告書が改ざんされた事実の報告は行われていなかった。

    また、社内の内部監査機能が働くこともなく、当該役員以外の経営陣はこれらについて認識せず、今般のクレジットカード番号等の漏えい事故に係る第三者による原因究明の結果、初めて事実を把握したものである。

    このため、同社はクレジットカード決済システムが適確にPCIDSSを準拠するための措置を講じていなかった。なお、今般のクレジットカード番号等の漏えい事故は、当該加盟店向けアプリの脆弱性を原因としたSQLインジェクション攻撃及びバックドア設置が一因となっている。

    加えて、クレジットカード決済システムにおける不正アクセスの検知や防御対策の不備があったほか、データベースが適切に分離されていない、自社のシステムのアプリケーションやネットワークの脆弱性診断を適切に実施せず、また検出された脆弱性に適切に対応しないなど基本的なセキュリティ対策が実施されておらず、クレジットカード番号等が十分に保護されるよう適切に管理されていなかった。

    このため、同社は法第35条の16第1項に規定する割賦販売法施行規則(昭和36年通商産業省令第95号。以下「省令」という。)第132条第第1号及び第4号に定める基準に従ったクレジットカード番号等の適切な管理のために必要な措置を講じていたとは認められない。

  4. また、同社は、クレジットカード決済システムのうち、少なくとも「会費ペイ」に係るシステムについては、令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについては、PCIDSSに準拠していない。このため、同社は法第35条の16第1項に規定する省令第132条第1号に定める基準に従ったクレジットカード番号等の適切な管理のために必要な措置を講じていたとは認められない。

  5. 同社の自社システムにおいては、システム担当部署で、クレジットカード決済システムの運用に関する状況について関係役職員に的確な情報共有がされず、システム運用に係る業務の遂行状況の記録がされていない状況、及び同社のクレジットカード決済システムの運用監視において、発生したアラートの全件を確認しない状況が継続していた。また、令和3年10月に加盟店向けアプリの管理画面にSQLインジェクション攻撃があったことを認知したが、速やかにフォレンジック調査等の原因究明を実施しなかった。

    このため、同社は、法第35条の16第1項に規定する省令第132条第1号及び第2号に定める基準に従ったクレジットカード番号等の適切な管理のために必要な措置を講じていたとは認められない。


【メタップスペイメントからの情報流出。~被害が広すぎてメタップスが国賊に見えてきた・・・・~】2022/3/11

決済システムからの情報流出でサービスが停止に、利用企業はクレカ使用を一時中止 
ECサイト向けクレカ決済サービスに不正アクセス - メタップスP

メタップスペイメントの情報流出についてまとめてみた

メタップスの子会社であるメタップスペイメントのeコマース向けクレジット決済サービスが不正アクセスを受け、クレジットカード情報が外部に流出した可能性があることがわかった。

eコマースサイトに向けて展開しているクレジットカード決済サービスの「決済トークン方式」が不正アクセスを受けたもの。「決済トークン方式」では、ECサイト側より「JavaScript」を呼び出し、外部ドメインに遷移することなくECサイト上でクレジットカード決済が行えるしくみを提供している。

同社によると、関連アプリケーションの脆弱性を突かれ、システム環境下にあった「決済トークン方式」のデータベース内のデータがアクセスを受け、外部に情報が流出した可能性が高いことが判明した。流出したデータの内容、規模、原因などは明らかとなっておらず、調査を進めている。

異常へ気がつく最初の契機となったのは、同社のイベント参加受付サービス「イベントペイ」において不正利用が行われた可能性があるとの指摘だったという。

2021年12月14日にクレジットカード会社より指摘されるも社内調査では問題を発見できなかったが、同社では翌16日に同サービスにおけるクレジットカード決済を停止した。

2021年12月17日より外部事業者によるフォレンジック調査を開始したが、クレジットカード会社より不正利用に関して再度情報提供があり、年末年始にかけて「イベントペイ」にくわえて、さらに3サイトについてもクレジットカードの新規決済を停止している。

一部加盟店に対して年末より注意喚起を行ってきたが、クレジットカード決済サービスの「決済トークン方式」から情報が流出した可能性が強く疑われる事象を2022年1月21日に確認。同月25日に同サービスを停止した。

同社では問題の発覚を受けて決済センターに対するフォレンジック調査を進めている。調査は2022年2月中旬に終える見込みで、調査結果や再発防止策を発表したいとしている。


ー2022/3/11追記ー
現時点での被害企業は下記の模様。

利用組織関連
日本生命保険お客様情報の漏えいに関するお知らせとお詫びアーカイブ
日本赤十字社オンライン寄付の決済サービス会社における情報流出に関する報告アーカイブ
福山市決済サービス会社における情報流出の可能性に関するお知らせとお詫びについてアーカイブ
滋賀県【ここクーポン】ご利用者様情報の流出に関するお知らせとお詫びアーカイブ)(関連リンク
横浜市【重要】本市給食費等徴収事務委託先での不正アクセス事故について
有機合成化学協会【重要なお知らせ】イベントペイ クレジットカード情報漏洩についてアーカイブ
日本賃貸住宅管理協会決済サービス会社における情報流出についてアーカイブ
日本数学検定協会委託先における外部からの不正アクセスの発生と「イベントペイ」ご利用者のクレジットカード情報流出に関するお詫びとお知らせアーカイブ
日本薬物動態学会メタップスペイメント社でのクレジット等決済情報流出についてアーカイブ
北海道言語聴覚士会【重要なお知らせ】イベントペイ利用者のクレジットカード情報の漏洩懸念についてのお詫びアーカイブ
神奈川県作業療法学会第18回神奈川県作業療法学会で使用したオンライン決済会社での情報流出について(2月27日)アーカイブ
東京都病院薬剤師会「イベントペイ」不正アクセスによる情報流出についてアーカイブ
世田谷区スポーツ振興財団決済サービス会社における情報流出及び情報流出の可能性に関するお知らせとお詫びアーカイブ
広島県精神保健福祉士協会※協会より緊急のお知らせアーカイブ
富山県臨床工学技士会【重要】(第3報) 不正アクセスによる情報流出に関するご報告とお詫びについてアーカイブ
パブリックヘルスリサーチセンター 決済サービス会社における情報流出に関するご報告アーカイブ
建築物価調査会 お客様情報の漏えいに関するお知らせとお詫びアーカイブ
全国建設研修センター 令和3年度 受検手数料支払いに係るクレジットカード決済サービス会社における情報流出に関する報告アーカイブ
全国エネルギー管理士連盟新着情報 2022年3月1日に記載アーカイブ
日本ロボット協会イベントペイ クレジットカード情報流出疑いについてアーカイブ
ビジネス選択理論能力検定決済サービス会社における情報流出懸念についてのご案内アーカイブ
フランス語教育振興協会決済サービス会社におけるクレジットカード情報流出に関するご報告とお詫び
AKB48グループチケットセンター決済サービス会社における情報流出のご案内
SCRAP決済サービス会社における情報流出懸念に関してのご案内
デジタルSKIPステーション決済サービス会社における情報流出のお詫びとご案内
KBCシネマオンライン決済サービス会社における情報流出のご報告
CINEMA CITY【重要】決済サービス会社におけるクレジットカード情報流出懸念のご報告
第七藝術劇場オンラインチケットの決済サービス会社における情報流出に関するご報告とお詫び
アセットナビ決済サービス会社における情報流出のお詫びとご案内
アップリンク【重要なお知らせ】オンラインチケット一時停止のお詫びと会員期限120日延長のお知らせ
アップルオンライン決済サービス会社における情報流出に関する報告
コスモ石油マーケティング株式会社メタップスペイメントの情報流出に関する発表について
シーメンスヘルスケアWebセミナーにおけるクレジットカード決済に関する重要な知らせ
スマイルゴルフ24弊社使用の収納代行サービス会費ペイにおける不正アクセスに関する調査状況とお詫び(クレジットカード会員様対象)
やる気スイッチグループ[PDF] クレジットカード情報の流出懸念に関するお詫びとお知らせ
メジカルビュー社2021年開催のウェブセミナーお申し込みの決済サービス会社における情報流出に関するご報告とお詫び
メディバンクス委託先における外部からの不正アクセスの発生と 「イベントペイ」ご利用者のクレジットカード情報流出に関する お詫びとお知ら
ネイルステーション会費ペイ不正アクセス調査結果報告とご案内
ペルソナ[PDF] 株式会社メタップスペイメントより、不正アクセスによる個人情報流出に関する発表について
ブラーゼンサポーターズクラブ【重要】サポーターズクラブ決済サービスにおける情報流出のご案内
ケンゾー エステイトメール型クレジット決済サービス会社への不正アクセスに伴う情報流出の可能性に関するご報告
ワンダーライフ【重要なお知らせ】 入居費用/決済サービス会社における情報流出の件
ルアナ東京お詫びと、ご予約方法変更のお知らせ
COBLIN【オンラインショップ】「株式会社メタップスペイメント」の不正アクセスに関する報道について
EDUCOMイベントペイ クレジットカード不正利用疑いと決済機能の一時停止について
EDUWARD Press決済サービス会社「株式会社メタップスペイメント」における 不正アクセスによるお客様情報の流出について
”R” WORLDクレジットカード決済サービス会社における情報流出に関する報告
JM Ortho決済サービス会社からの情報流出(懸念)のご案内
QIX【重要】決済サービス会社「株式会社メタップスペイメント」における不正アクセスによるお客様情報の流出について
鉄人会グループ「会費ペイ」不正アクセスによる情報漏洩につきまして【クラスアップ答練会】
NSフィットネス当社決済サービス会社における情報流出について(会費ペイ)
RE:BIRTH GOLF STUDIO インドアゴルフ練習場会費ペイによるクレジット決済停止のお知らせ
WOOC決済代行サービス(会費ペイ)の不正アクセスに関するお詫びとご報告
DADA決済サービス「会費ペイ」における情報流出に関するお知らせ
ホテルヴィフォンテーヌクレジットカード情報の流出懸念に関するお知らせとお詫び
ホテルヴィスキオ尼崎【重要なお知らせ】不正アクセスによる個人情報流出に関する株式会社メタップスペイメントの発表について
東京ベイ舞浜ホテル ファーストリゾート[PDF] 弊社公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
川崎日航ホテル【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ホテル日航奈良ホテル公式宿泊予約サイトにおける クレジットカード決済システムへの不正アクセスの疑いについて
JR 九州ホテルズ[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
JR西日本ホロニック[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
JR西日本ホテルズ「株式会社メタップスペイメント」における 不正アクセスによるクレジットカード情報流出に関する発表について
ホテルフォルクローロ花巻東和「株式会社メタップスペイメント」における 不正アクセスによるクレジットカード情報 流出 に関する発表について
ホテル日航アリビラ【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社 への不正アクセスについて
ホテル日航立川[PDF] 【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ホテル日航つくば【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて(2022.2.28)
ホテルグランヴィア岡山[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
盛岡ターミナルビル[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
The Okura Tokyo[PDF] 【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ジェイアール東海ホテルズ[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
金融機関関連
イオン銀行株式会社メタップスペイメントにおけるお客さま情報の流出について
株式会社メタップスペイメントにおけるお客さま情報の流出について(続報)
ゆうちょ銀行株式会社メタップスペイメントの情報流出に関する発表について
楽天銀行決済サービス会社「株式会社メタップスペイメント」における不正アクセスによる情報流出について
北洋銀行[PDF] 株式会社メタップスペイメントの情報流出に関する発表について
愛和銀行株式会社メタップスペイメントの情報流出に関する発表について
滋賀銀行株式会社メタップスペイメントの決済データセンターでの個人情報流出について
名古屋銀行[PDF] 株式会社メタップスペイメントの情報流出に関する発表について
常陽銀行[PDF] 株式会社メタップスペイメント決済データセンターでの個人情報流出について
十六銀行[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について

三井住友カード| 株式会社メタップスペイメントの不正アクセスによる個人情報流出に関する対応について|

三菱UFJニコス[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について(その2)
ろうきん決済代行会社「㈱メタップスペイメント」におけるお客さま情報流出について
エポスカード決済代行会社「メタップスペイメント」におけるお客さま情報流出について
ニッセンレンエスコート決済代行事業者「株式会社メタップスペイメント」における個人情報流出について
ビューカード株式会社メタップスペイメントにおける情報流出に関する発表について
セブンCSカードサービス決済代行会社「メタップスペイメント」におけるお客さま情報流出について
エムアイカード株式会社メタップスペイメントにおける不正アクセスによるお客さま情報流出について
ライフカード[PDF] 「株式会社メタップスペイメント」における個人情報流出の可能性について(2)
楽天カード決済サービス会社「株式会社メタップスペイメント」における不正アクセスによる情報流出について
東武カード決済代行会社「メタップスペイメント」におけるクレジットカード情報流出および本事案に乗じたフィッシングメール・SMSについて
日専連ホールディングス株式会社メタップスペイメントの情報流出に関する発表について
中部しんきんカード株式会社メタップスペイメントの情報流出に関する発表について
めぶきカード[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
小田急株式会社メタップスペイメントの情報流出に関する発表について【2022年3月2日情報追加】
JR西日本株式会社メタップスペイメントの決済データセンターでの個人情報流出について
九州カード株式会社メタップスペイメントの不正アクセスによる個人情報流出に関する対応について
出光クレジットカード決済代行会社「メタップスペイメント」におけるお客様情報流出について
百五カード[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
JCB株式会社メタップスペイメントの情報流出に関する発表について
JFRカード決済代行会社「メタップスペイメント」におけるお客様情報流出について
りゅうぎんDC株式会社メタップスペイメントの決済データセンターでの個人情報流出について
アコム株式会社メタップスペイメントの決済データセンターでの個人情報の流出について
株式会社メタップスペイメントの決済データセンターでの個人情報の流出について(その2)