2022/03/11

メタップスペイメントからの情報流出。~被害が広すぎてメタップスが国賊に見えてきた・・・・~


決済システムからの情報流出でサービスが停止に、利用企業はクレカ使用を一時中止 
ECサイト向けクレカ決済サービスに不正アクセス - メタップスP

メタップスペイメントの情報流出についてまとめてみた

メタップスの子会社であるメタップスペイメントのeコマース向けクレジット決済サービスが不正アクセスを受け、クレジットカード情報が外部に流出した可能性があることがわかった。

eコマースサイトに向けて展開しているクレジットカード決済サービスの「決済トークン方式」が不正アクセスを受けたもの。「決済トークン方式」では、ECサイト側より「JavaScript」を呼び出し、外部ドメインに遷移することなくECサイト上でクレジットカード決済が行えるしくみを提供している。

同社によると、関連アプリケーションの脆弱性を突かれ、システム環境下にあった「決済トークン方式」のデータベース内のデータがアクセスを受け、外部に情報が流出した可能性が高いことが判明した。流出したデータの内容、規模、原因などは明らかとなっておらず、調査を進めている。

異常へ気がつく最初の契機となったのは、同社のイベント参加受付サービス「イベントペイ」において不正利用が行われた可能性があるとの指摘だったという。

2021年12月14日にクレジットカード会社より指摘されるも社内調査では問題を発見できなかったが、同社では翌16日に同サービスにおけるクレジットカード決済を停止した。

2021年12月17日より外部事業者によるフォレンジック調査を開始したが、クレジットカード会社より不正利用に関して再度情報提供があり、年末年始にかけて「イベントペイ」にくわえて、さらに3サイトについてもクレジットカードの新規決済を停止している。

一部加盟店に対して年末より注意喚起を行ってきたが、クレジットカード決済サービスの「決済トークン方式」から情報が流出した可能性が強く疑われる事象を2022年1月21日に確認。同月25日に同サービスを停止した。

同社では問題の発覚を受けて決済センターに対するフォレンジック調査を進めている。調査は2022年2月中旬に終える見込みで、調査結果や再発防止策を発表したいとしている。


ー2022/3/11追記ー
現時点での被害企業は下記の模様。

利用組織関連
日本生命保険お客様情報の漏えいに関するお知らせとお詫びアーカイブ
日本赤十字社オンライン寄付の決済サービス会社における情報流出に関する報告アーカイブ
福山市決済サービス会社における情報流出の可能性に関するお知らせとお詫びについてアーカイブ
滋賀県【ここクーポン】ご利用者様情報の流出に関するお知らせとお詫びアーカイブ)(関連リンク
横浜市【重要】本市給食費等徴収事務委託先での不正アクセス事故について
有機合成化学協会【重要なお知らせ】イベントペイ クレジットカード情報漏洩についてアーカイブ
日本賃貸住宅管理協会決済サービス会社における情報流出についてアーカイブ
日本数学検定協会委託先における外部からの不正アクセスの発生と「イベントペイ」ご利用者のクレジットカード情報流出に関するお詫びとお知らせアーカイブ
日本薬物動態学会メタップスペイメント社でのクレジット等決済情報流出についてアーカイブ
北海道言語聴覚士会【重要なお知らせ】イベントペイ利用者のクレジットカード情報の漏洩懸念についてのお詫びアーカイブ
神奈川県作業療法学会第18回神奈川県作業療法学会で使用したオンライン決済会社での情報流出について(2月27日)アーカイブ
東京都病院薬剤師会「イベントペイ」不正アクセスによる情報流出についてアーカイブ
世田谷区スポーツ振興財団決済サービス会社における情報流出及び情報流出の可能性に関するお知らせとお詫びアーカイブ
広島県精神保健福祉士協会※協会より緊急のお知らせアーカイブ
富山県臨床工学技士会【重要】(第3報) 不正アクセスによる情報流出に関するご報告とお詫びについてアーカイブ
パブリックヘルスリサーチセンター 決済サービス会社における情報流出に関するご報告アーカイブ
建築物価調査会 お客様情報の漏えいに関するお知らせとお詫びアーカイブ
全国建設研修センター 令和3年度 受検手数料支払いに係るクレジットカード決済サービス会社における情報流出に関する報告アーカイブ
全国エネルギー管理士連盟新着情報 2022年3月1日に記載アーカイブ
日本ロボット協会イベントペイ クレジットカード情報流出疑いについてアーカイブ
ビジネス選択理論能力検定決済サービス会社における情報流出懸念についてのご案内アーカイブ
フランス語教育振興協会決済サービス会社におけるクレジットカード情報流出に関するご報告とお詫び
AKB48グループチケットセンター決済サービス会社における情報流出のご案内
SCRAP決済サービス会社における情報流出懸念に関してのご案内
デジタルSKIPステーション決済サービス会社における情報流出のお詫びとご案内
KBCシネマオンライン決済サービス会社における情報流出のご報告
CINEMA CITY【重要】決済サービス会社におけるクレジットカード情報流出懸念のご報告
第七藝術劇場オンラインチケットの決済サービス会社における情報流出に関するご報告とお詫び
アセットナビ決済サービス会社における情報流出のお詫びとご案内
アップリンク【重要なお知らせ】オンラインチケット一時停止のお詫びと会員期限120日延長のお知らせ
アップルオンライン決済サービス会社における情報流出に関する報告
コスモ石油マーケティング株式会社メタップスペイメントの情報流出に関する発表について
シーメンスヘルスケアWebセミナーにおけるクレジットカード決済に関する重要な知らせ
スマイルゴルフ24弊社使用の収納代行サービス会費ペイにおける不正アクセスに関する調査状況とお詫び(クレジットカード会員様対象)
やる気スイッチグループ[PDF] クレジットカード情報の流出懸念に関するお詫びとお知らせ
メジカルビュー社2021年開催のウェブセミナーお申し込みの決済サービス会社における情報流出に関するご報告とお詫び
メディバンクス委託先における外部からの不正アクセスの発生と 「イベントペイ」ご利用者のクレジットカード情報流出に関する お詫びとお知ら
ネイルステーション会費ペイ不正アクセス調査結果報告とご案内
ペルソナ[PDF] 株式会社メタップスペイメントより、不正アクセスによる個人情報流出に関する発表について
ブラーゼンサポーターズクラブ【重要】サポーターズクラブ決済サービスにおける情報流出のご案内
ケンゾー エステイトメール型クレジット決済サービス会社への不正アクセスに伴う情報流出の可能性に関するご報告
ワンダーライフ【重要なお知らせ】 入居費用/決済サービス会社における情報流出の件
ルアナ東京お詫びと、ご予約方法変更のお知らせ
COBLIN【オンラインショップ】「株式会社メタップスペイメント」の不正アクセスに関する報道について
EDUCOMイベントペイ クレジットカード不正利用疑いと決済機能の一時停止について
EDUWARD Press決済サービス会社「株式会社メタップスペイメント」における 不正アクセスによるお客様情報の流出について
”R” WORLDクレジットカード決済サービス会社における情報流出に関する報告
JM Ortho決済サービス会社からの情報流出(懸念)のご案内
QIX【重要】決済サービス会社「株式会社メタップスペイメント」における不正アクセスによるお客様情報の流出について
鉄人会グループ「会費ペイ」不正アクセスによる情報漏洩につきまして【クラスアップ答練会】
NSフィットネス当社決済サービス会社における情報流出について(会費ペイ)
RE:BIRTH GOLF STUDIO インドアゴルフ練習場会費ペイによるクレジット決済停止のお知らせ
WOOC決済代行サービス(会費ペイ)の不正アクセスに関するお詫びとご報告
DADA決済サービス「会費ペイ」における情報流出に関するお知らせ
ホテルヴィフォンテーヌクレジットカード情報の流出懸念に関するお知らせとお詫び
ホテルヴィスキオ尼崎【重要なお知らせ】不正アクセスによる個人情報流出に関する株式会社メタップスペイメントの発表について
東京ベイ舞浜ホテル ファーストリゾート[PDF] 弊社公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
川崎日航ホテル【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ホテル日航奈良ホテル公式宿泊予約サイトにおける クレジットカード決済システムへの不正アクセスの疑いについて
JR 九州ホテルズ[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
JR西日本ホロニック[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
JR西日本ホテルズ「株式会社メタップスペイメント」における 不正アクセスによるクレジットカード情報流出に関する発表について
ホテルフォルクローロ花巻東和「株式会社メタップスペイメント」における 不正アクセスによるクレジットカード情報 流出 に関する発表について
ホテル日航アリビラ【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社 への不正アクセスについて
ホテル日航立川[PDF] 【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ホテル日航つくば【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて(2022.2.28)
ホテルグランヴィア岡山[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
盛岡ターミナルビル[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
The Okura Tokyo[PDF] 【重要】公式ホームページの宿泊予約で使用しているクレジットカード決済サービス会社への不正アクセスについて
ジェイアール東海ホテルズ[PDF] 「株式会社メタップスペイメント」における不正アクセスによるクレジットカード情報流出に関する発表について
金融機関関連
イオン銀行株式会社メタップスペイメントにおけるお客さま情報の流出について
株式会社メタップスペイメントにおけるお客さま情報の流出について(続報)
ゆうちょ銀行株式会社メタップスペイメントの情報流出に関する発表について
楽天銀行決済サービス会社「株式会社メタップスペイメント」における不正アクセスによる情報流出について
北洋銀行[PDF] 株式会社メタップスペイメントの情報流出に関する発表について
愛和銀行株式会社メタップスペイメントの情報流出に関する発表について
滋賀銀行株式会社メタップスペイメントの決済データセンターでの個人情報流出について
名古屋銀行[PDF] 株式会社メタップスペイメントの情報流出に関する発表について
常陽銀行[PDF] 株式会社メタップスペイメント決済データセンターでの個人情報流出について
十六銀行[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について

三井住友カード| 株式会社メタップスペイメントの不正アクセスによる個人情報流出に関する対応について|

三菱UFJニコス[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について(その2)
ろうきん決済代行会社「㈱メタップスペイメント」におけるお客さま情報流出について
エポスカード決済代行会社「メタップスペイメント」におけるお客さま情報流出について
ニッセンレンエスコート決済代行事業者「株式会社メタップスペイメント」における個人情報流出について
ビューカード株式会社メタップスペイメントにおける情報流出に関する発表について
セブンCSカードサービス決済代行会社「メタップスペイメント」におけるお客さま情報流出について
エムアイカード株式会社メタップスペイメントにおける不正アクセスによるお客さま情報流出について
ライフカード[PDF] 「株式会社メタップスペイメント」における個人情報流出の可能性について(2)
楽天カード決済サービス会社「株式会社メタップスペイメント」における不正アクセスによる情報流出について
東武カード決済代行会社「メタップスペイメント」におけるクレジットカード情報流出および本事案に乗じたフィッシングメール・SMSについて
日専連ホールディングス株式会社メタップスペイメントの情報流出に関する発表について
中部しんきんカード株式会社メタップスペイメントの情報流出に関する発表について
めぶきカード[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
小田急株式会社メタップスペイメントの情報流出に関する発表について【2022年3月2日情報追加】
JR西日本株式会社メタップスペイメントの決済データセンターでの個人情報流出について
九州カード株式会社メタップスペイメントの不正アクセスによる個人情報流出に関する対応について
出光クレジットカード決済代行会社「メタップスペイメント」におけるお客様情報流出について
百五カード[PDF] 株式会社メタップスペイメントの決済データセンターでの個人情報流出について
JCB株式会社メタップスペイメントの情報流出に関する発表について
JFRカード決済代行会社「メタップスペイメント」におけるお客様情報流出について
りゅうぎんDC株式会社メタップスペイメントの決済データセンターでの個人情報流出について
アコム株式会社メタップスペイメントの決済データセンターでの個人情報の流出について
株式会社メタップスペイメントの決済データセンターでの個人情報の流出について(その2)