メタップスペイメントからの情報流出。～被害が広すぎてメタップスが国賊に見えてきた・・・・～

決済システムからの情報流出でサービスが停止に、利用企業はクレカ使用を一時中止 
ECサイト向けクレカ決済サービスに不正アクセス - メタップスP

メタップスペイメントの情報流出についてまとめてみた

メタップスの子会社であるメタップスペイメントのeコマース向けクレジット決済サービスが不正アクセスを受け、クレジットカード情報が外部に流出した可能性があることがわかった。

eコマースサイトに向けて展開しているクレジットカード決済サービスの「決済トークン方式」が不正アクセスを受けたもの。「決済トークン方式」では、ECサイト側より「JavaScript」を呼び出し、外部ドメインに遷移することなくECサイト上でクレジットカード決済が行えるしくみを提供している。

同社によると、関連アプリケーションの脆弱性を突かれ、システム環境下にあった「決済トークン方式」のデータベース内のデータがアクセスを受け、外部に情報が流出した可能性が高いことが判明した。流出したデータの内容、規模、原因などは明らかとなっておらず、調査を進めている。

異常へ気がつく最初の契機となったのは、同社のイベント参加受付サービス「イベントペイ」において不正利用が行われた可能性があるとの指摘だったという。

2021年12月14日にクレジットカード会社より指摘されるも社内調査では問題を発見できなかったが、同社では翌16日に同サービスにおけるクレジットカード決済を停止した。

2021年12月17日より外部事業者によるフォレンジック調査を開始したが、クレジットカード会社より不正利用に関して再度情報提供があり、年末年始にかけて「イベントペイ」にくわえて、さらに3サイトについてもクレジットカードの新規決済を停止している。

一部加盟店に対して年末より注意喚起を行ってきたが、クレジットカード決済サービスの「決済トークン方式」から情報が流出した可能性が強く疑われる事象を2022年1月21日に確認。同月25日に同サービスを停止した。

同社では問題の発覚を受けて決済センターに対するフォレンジック調査を進めている。調査は2022年2月中旬に終える見込みで、調査結果や再発防止策を発表したいとしている。

プレスリリース（アーカイブ）

ー2022/3/11追記ー

現時点での被害企業は下記の模様。

利用組織関連

日本生命保険	お客様情報の漏えいに関するお知らせとお詫び（アーカイブ）
日本赤十字社	オンライン寄付の決済サービス会社における情報流出に関する報告（アーカイブ）
福山市	決済サービス会社における情報流出の可能性に関するお知らせとお詫びについて（アーカイブ）
滋賀県	【ここクーポン】ご利用者様情報の流出に関するお知らせとお詫び（アーカイブ）（関連リンク）
横浜市	【重要】本市給食費等徴収事務委託先での不正アクセス事故について
有機合成化学協会	【重要なお知らせ】イベントペイ　クレジットカード情報漏洩について（アーカイブ）
日本賃貸住宅管理協会	決済サービス会社における情報流出について（アーカイブ）
日本数学検定協会	委託先における外部からの不正アクセスの発生と「イベントペイ」ご利用者のクレジットカード情報流出に関するお詫びとお知らせ（アーカイブ）
日本薬物動態学会	メタップスペイメント社でのクレジット等決済情報流出について（アーカイブ）
北海道言語聴覚士会	【重要なお知らせ】イベントペイ利用者のクレジットカード情報の漏洩懸念についてのお詫び（アーカイブ）
神奈川県作業療法学会	第18回神奈川県作業療法学会で使用したオンライン決済会社での情報流出について（2月27日）（アーカイブ）
東京都病院薬剤師会	「イベントペイ」不正アクセスによる情報流出について（アーカイブ）
世田谷区スポーツ振興財団	決済サービス会社における情報流出及び情報流出の可能性に関するお知らせとお詫び（アーカイブ）
広島県精神保健福祉士協会	※協会より緊急のお知らせ（アーカイブ）
富山県臨床工学技士会	【重要】(第３報) 不正アクセスによる情報流出に関するご報告とお詫びについて（アーカイブ）
パブリックヘルスリサーチセンター	決済サービス会社における情報流出に関するご報告（アーカイブ）
建築物価調査会	お客様情報の漏えいに関するお知らせとお詫び（アーカイブ）
全国建設研修センター	令和3年度 受検手数料支払いに係るクレジットカード決済サービス会社における情報流出に関する報告（アーカイブ）
全国エネルギー管理士連盟	新着情報 2022年3月1日に記載（アーカイブ）
日本ロボット協会	イベントペイ　クレジットカード情報流出疑いについて（アーカイブ）
ビジネス選択理論能力検定	決済サービス会社における情報流出懸念についてのご案内（アーカイブ）
フランス語教育振興協会	決済サービス会社におけるクレジットカード情報流出に関するご報告とお詫び
AKB48グループチケットセンター	決済サービス会社における情報流出のご案内
SCRAP	決済サービス会社における情報流出懸念に関してのご案内
デジタルSKIPステーション	決済サービス会社における情報流出のお詫びとご案内
KBCシネマ	オンライン決済サービス会社における情報流出のご報告
CINEMA CITY	【重要】決済サービス会社におけるクレジットカード情報流出懸念のご報告
第七藝術劇場	オンラインチケットの決済サービス会社における情報流出に関するご報告とお詫び
アセットナビ	決済サービス会社における情報流出のお詫びとご案内
アップリンク	【重要なお知らせ】オンラインチケット一時停止のお詫びと会員期限120日延長のお知らせ
アップル	オンライン決済サービス会社における情報流出に関する報告
コスモ石油マーケティング	株式会社メタップスペイメントの情報流出に関する発表について
シーメンスヘルスケア	Webセミナーにおけるクレジットカード決済に関する重要な知らせ
スマイルゴルフ24	弊社使用の収納代行サービス会費ペイにおける不正アクセスに関する調査状況とお詫び(クレジットカード会員様対象)
やる気スイッチグループ	[PDF] クレジットカード情報の流出懸念に関するお詫びとお知らせ
メジカルビュー社	2021年開催のウェブセミナーお申し込みの決済サービス会社における情報流出に関するご報告とお詫び
メディバンクス	委託先における外部からの不正アクセスの発生と 「イベントペイ」ご利用者のクレジットカード情報流出に関する お詫びとお知らせ
ネイルステーション	会費ペイ不正アクセス調査結果報告とご案内
ペルソナ	[PDF] 株式会社メタップスペイメントより、不正アクセスによる個人情報流出に関する発表について
ブラーゼンサポーターズクラブ	【重要】サポーターズクラブ決済サービスにおける情報流出のご案内
ケンゾー エステイト	メール型クレジット決済サービス会社への不正アクセスに伴う情報流出の可能性に関するご報告
ワンダーライフ	【重要なお知らせ】 入居費用/決済サービス会社における情報流出の件
ルアナ東京	お詫びと、ご予約方法変更のお知らせ
COBLIN	【オンラインショップ】「株式会社メタップスペイメント」の不正アクセスに関する報道について
EDUCOM	イベントペイ　クレジットカード不正利用疑いと決済機能の一時停止について
EDUWARD Press	決済サービス会社「株式会社メタップスペイメント」における 不正アクセスによるお客様情報の流出について
”R” WORLD	クレジットカード決済サービス会社における情報流出に関する報告
JM Ortho	決済サービス会社からの情報流出(懸念)のご案内
QIX	【重要】決済サービス会社「株式会社メタップスペイメント」における不正アクセスによるお客様情報の流出について
鉄人会グループ	「会費ペイ」不正アクセスによる情報漏洩につきまして【クラスアップ答練会】
NSフィットネス	当社決済サービス会社における情報流出について(会費ペイ)
RE:BIRTH GOLF STUDIO インドアゴルフ練習場	会費ペイによるクレジット決済停止のお知らせ
ＷＯＯＣ	決済代行サービス（会費ペイ）の不正アクセスに関するお詫びとご報告
DADA	決済サービス「会費ペイ」における情報流出に関するお知らせ
ホテルヴィフォンテーヌ	クレジットカード情報の流出懸念に関するお知らせとお詫び
ホテルヴィスキオ尼崎	【重要なお知らせ】不正アクセスによる個人情報流出に関する株式会社メタップスペイメントの発表について
東京ベイ舞浜ホテル ファーストリゾート	[PDF] 弊社公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
川崎日航ホテル	【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ホテル日航奈良	ホテル公式宿泊予約サイトにおける クレジットカード決済システムへの不正アクセスの疑いについて
JR 九州ホテルズ	[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
ＪＲ西日本ホロニック	[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
JR西日本ホテルズ	「株式会社メタップスペイメント」における 不正アクセスによるクレジットカード情報流出に関する発表について
ホテルフォルクローロ花巻東和	「株式会社メタップスペイメント」における 不正アクセスによるクレジットカード情報 流出 に関する発表について
ホテル日航アリビラ	【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社 への不正アクセスについて
ホテル日航立川	[PDF] 【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ホテル日航つくば	【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて（2022.2.28）
ホテルグランヴィア岡山	[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
盛岡ターミナルビル	[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
The Okura Tokyo	[PDF] 【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ジェイアール東海ホテルズ	[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について

金融機関関連

イオン銀行	株式会社メタップスペイメントにおけるお客さま情報の流出について 株式会社メタップスペイメントにおけるお客さま情報の流出について（続報）
ゆうちょ銀行	株式会社メタップスペイメントの情報流出に関する発表について
楽天銀行	決済サービス会社「株式会社メタップスペイメント」における不正アクセスによる情報流出について
北洋銀行	[PDF] 株式会社メタップスペイメントの情報流出に関する発表について
愛和銀行	株式会社メタップスペイメントの情報流出に関する発表について
滋賀銀行	株式会社メタップスペイメントの決済データセンターでの個人情報流出について
名古屋銀行	[PDF] 株式会社メタップスペイメントの情報流出に関する発表について
常陽銀行	[PDF] 株式会社メタップスペイメント決済データセンターでの個人情報流出について
十六銀行	[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について

三井住友カード| 株式会社メタップスペイメントの不正アクセスによる個人情報流出に関する対応について|

三菱UFJニコス	[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について（その2）
ろうきん	決済代行会社「㈱メタップスペイメント」におけるお客さま情報流出について
エポスカード	決済代行会社「メタップスペイメント」におけるお客さま情報流出について
ニッセンレンエスコート	決済代行事業者「株式会社メタップスペイメント」における個人情報流出について
ビューカード	株式会社メタップスペイメントにおける情報流出に関する発表について
セブンCSカードサービス	決済代行会社「メタップスペイメント」におけるお客さま情報流出について
エムアイカード	株式会社メタップスペイメントにおける不正アクセスによるお客さま情報流出について
ライフカード	[PDF] 「株式会社メタップスペイメント」における個人情報流出の可能性について（2）
楽天カード	決済サービス会社「株式会社メタップスペイメント」における不正アクセスによる情報流出について
東武カード	決済代行会社「メタップスペイメント」におけるクレジットカード情報流出および本事案に乗じたフィッシングメール・SMSについて
日専連ホールディングス	株式会社メタップスペイメントの情報流出に関する発表について
中部しんきんカード	株式会社メタップスペイメントの情報流出に関する発表について
めぶきカード	[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
小田急	株式会社メタップスペイメントの情報流出に関する発表について【2022年3月2日情報追加】
JR西日本	株式会社メタップスペイメントの決済データセンターでの個人情報流出について
九州カード	株式会社メタップスペイメントの不正アクセスによる個人情報流出に関する対応について
出光クレジットカード	決済代行会社「メタップスペイメント」におけるお客様情報流出について
百五カード	[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
JCB	株式会社メタップスペイメントの情報流出に関する発表について
JFRカード	決済代行会社「メタップスペイメント」におけるお客様情報流出について
りゅうぎんDC	株式会社メタップスペイメントの決済データセンターでの個人情報流出について
アコム	株式会社メタップスペイメントの決済データセンターでの個人情報の流出について 株式会社メタップスペイメントの決済データセンターでの個人情報の流出について（その２）