2022/07/05

不正アクセスによる情報流出に関する対応状況について 2022年7月1日 株式会社メタップスペイメント


2022年2月28日付「不正アクセスによる情報流出に関するご報告とお詫び」にて開示のとおり、2021年10月から2022年1月にわたって当社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を突いたサイバー攻撃によって複合的な不正アクセスが行われ、最終的に決済情報等が格納されているデータベースから個人情報を含む情報が外部に流出し、クレジットカードの不正利用(以下、「本件」という)に至りました。

本件の発生以来、当社はクレジットカード決済における基盤であるネット決済システムに対して、技術的安全性の確保を最優先に掲げ、原因究明のために調査会社2社からフォレンジック調査を受け、決済システム監視体制の強化(WAFの導入・24時間365日監視対応、アラート検知体制の整備、IPSによる不正アクセスの遮断)、サーバの分離によるアクセス制御及び各種(アプリケーション・ネットワーク)脆弱性診断等の対策を順次実施すると共に、PCIDSSの認定セキュリティ評価者(QSA)より、ネット決済システム及び一部のフロントシステムについて、PCIDSS Ver 3.2.1への準拠の認定を受けました。なお、現時点で準拠の確認ができていないフロントシステムについては、準拠に向けて審査中の状況です。

並行して、当社は、2022年2月25日、役員に外部の専門家アドバイザーを加えたメンバーで構成される再発防止委員会を設置し、再発防止策の検討及び実施を継続してまいりました。また、更なる事実関係の解明及び原因究明を目的として、2022年4月7日付けで、当社及び再発防止委員会とは独立した組織である第三者委員会を設置し、別添1のとおり、第三者委員会による報告書を受領しております。

なお、別途公表させていただきましたように、当社は2022年6月30日付けで、経済産業省より割賦販売法第35条の17の規定に基づく改善命令を受けました。今後は、改善命令に係る指摘事項及び第三者委員会による提言を踏まえた再発防止策を速やかに策定すると共に、これらを確実に遂行して参る所存でございます。