約46万件の個人情報を流出させたメタップスペイメントによる漏えい事件とは

2022.08.02

はじめに

個人情報の流出についての報道が年々増加している。その中でもかなりセンシティブな事件が発生してしまった。

事件—メタップスペイメントというクレジットカード決済システムを手掛ける会社による個人情報の流出だ。この結果、2022年6月30日に経済産業省、7月13日に個人情報保護委員会がメタップスペイメントへ行政処分ならびに行政指導を行ったと各公式ホームページで発表した。

一体、メタップスペイメントで何が発生したのか。

2021年10月から2022年1月にかけてサイバー攻撃を受け、クレジットカード番号や有効期限、セキュリティコードなどの情報が流出する問題を起こしたからだ。

今回はメタップスペイメントの個人情報流出に関する一連の流れと情報流出原因、各機関の対応内容について解説していく。

メタップスペイメントの個人情報流出に関する一連の流れ

ここでは、メタップスペイメントの個人情報流出における一連の流れについてまとめていく。

メタップスペイメントが公開した個人情報流出の時系列は主に以下のとおり。

出典:不正アクセスによる情報流出に関するご報告とお詫び

メタップスペイメントにおける不正アクセスおよび情報流出の原因

メタップスペイメントの情報流出の原因は、決済データセンターサーバー内に配置のアプリケーションの1部に脆弱性があり、そこを利用して不正アクセスが行われた。

攻撃自体は不正利用懸念の連絡があった2021年12月14日よりも4ヶ月前の2021年8月2日から行われていたとされている。

脆弱性を利用されて行われた攻撃は「社内管理システムへの不正ログイン」「アプリケーションの1部へのSQLインジェクション」「バックドア(不正ファイル)の設置」の3つ。

これらの攻撃は8月2日から2022年1月25日の約6ヶ月にわたって複合的に行われ、決済情報などが格納されているデータベースに到達、個人情報などの情報が外部流出に至ったというわけだ。

メタップスペイメントへの不正アクセスによる情報流出の被害総数

今回の不正アクセスは決済情報などが格納されている3つのデータベースで確認され、各データベースから情報が流出していることが確認された。

ここでは各データベースの被害状況をまとめた。

トークン方式クレジットカード決済情報データベース

第三者調査によって断続的に情報が流出したことが確認されている。

流出したのは2021年10月14日から2022年1月25日に利用された46万395件の「カード番号」「有効期限」「セキュリティカード」といったクレジットカード情報だ。

流出件数は最大件数であり、メタップスペイメントならびに第三者調査でも、実際に流出した情報を特定することは困難な状態となっている。

決済情報データベース

「不正ファイルのアクセスログ日時の抽出」や「抽出ログに該当するパケットデータ取得」、「取得パケットデータの要求・応答の確認」「応答値から窃取されたデータ件数」といった調査の結果、決済情報データベースからも情報流出が確認された。

流出したのは2021年5月6日から2022年1月25日に利用したユーザーデータ。該当期間に利用したユーザーデータの保有件数と情報流出件数は以下のとおり

出典:不正アクセスによる情報流出に関するご報告とお詫び-株式会社メタップスペイメント

結果、情報流出件数は593件にのぼっている。

加盟店情報データベース

調査の結果、加盟店情報データベースからも情報の流出が確認された。

流出した情報は加盟店名ならびに加盟店コードで、流出件数は38件にのぼる。

不正アクセス被害に伴うメタップスペイメントの対応

不正アクセスにともなう情報流出被害に対してメタップスペイメントはどのような対応を行っているのか。

ここでは「ユーザーへの対応」と「今後の対応」に分けて、メタップスペイメントの対応をみていく。

ユーザーへの対応

ユーザーには大きく分けて4つの対応を講じている。

ここでは各対応について簡単にみていこう。

ユーザーへの周知と窓口設置

情報流出が懸念されるユーザーに対しては、メタップスペイメントの決済サービスを利用している加盟店を通じて電子メールなどによる連絡を行っている。

メタップスペイメント運営の「イベントペイ」や「会費ペイ」を利用しているユーザーに対しては、メタップスペイメントから直接電子メールにて連絡を行い、周知を行っているのが現状だ。

また、情報流出の懸念があるユーザーを対象に専用の電話窓口を設置し、ユーザーからの問い合わせ対応を行っている。

クレジットカード利用明細の再確認依頼

クレジットカードの情報流出によって、クレジットカードの不正利用が懸念されていることから、クレジットカード利用明細の再確認し、身に覚えのない請求があった場合には、クレジットカード裏面記載のカード会社に問い合わせを行うようにとしている。

公式ホームページによれば、問い合わせする際は手続きをスムーズに行うため、「メタップスペイメントの不正アクセスの件」である旨を伝えてほしいとのことだ。

クレジットカードの差し替え対応

不正利用などの観点からクレジットカードの差し替えを希望する場合、カード再発行手数料をユーザーに負担させないように、メタップスペイメントが各クレジットカード会社に依頼を行っているとのこと。

クレジットカードを差し替えたいという場合、まずはクレジットカード会社へ問い合わせてみるとよいだろう。

不正利用モニタリングの実施

情報が流出した懸念のあるクレジットカード情報に対しては、各クレジットカード会社と連携して取引のモニタリングを行っている。

モニタリングを実施することで、不正利用の防止に努めているとのことだ。

今後の対応

事態の収束と再発防止に向けて、メタップスペイメントがどのような対応を取っているのか。

ここでは今後行っていく対応についてみていく。

PCI DSSアセスメントの実施

第三者機関によってPCI DSSアセスメントを実施した結果、不正アクセスの直接の原因となった脆弱性以外にソフトウェアの脆弱性は検出されなかったとメタップスペイメントは公表している。

不正アクセスへの対策は既に完了しているものの、2ヶ月後を目途に再度PCI DSSアセスメントを実施するそうだ。

再発防止委員会の設置

システムや運用面の事実関係の検証、情報漏洩に至った組織やガバナンス体制などの根本的な問題を議論するために再発防止委員会を設置した。

委員会のメンバー並びに肩書きは以下のとおり。

引用:不正アクセスによる情報流出に関するご報告とお詫び-株式会社メタップスペイメント

各機関のメタップスペイメントへの対応と見解

メタップスペイメントの個人情報流出事件を受けて、2022年6月30日に経済産業省が行政処分、7月13日には個人情報保護委員会が行政指導を行ったとそれぞれ公式ホームページで発表した。

各機関が行政対応に踏み切っていることをみても、今回の件は重大インシデントとしていえる。ここでは各機関の対応と見解についてまとめていく。

経済産業省

メタップスペイメントは加盟店向けアプリを委託先から自社システム内に移設した際、移設の事実が適切に情報共有されなかったため、監査対象から外れており監査漏れが起きていた。

また、決済システムの脆弱性検査によって脆弱性が複数検出されたものの、報告書を改ざんして報告していない、内部監査の機能不全、2021年10月のSQLインジェクション攻撃を受けた際には事後調査も行っていなかったという。

事態を重く見た経済産業省はメタップスペイメントに対して、行政処分を行ったと公式ホームページで発表した。

ITmedia NEWSによれば、経済産業省は次の対応を行うよう指示し、カード情報取扱業者として健全な組織風土を醸成することをメタップスペイメントに求めたという。

  • 再発防止策の実施
  • 情報流出対策の実施状況確認
  • 内部監査機能の強化
  • 作業属人化解消
  • 抜本的な運用体制の再構築
  • 経営責任明確化

個人情報保護委員会

個人情報保護委員会は個人情報保護法第144条に基づき、メタップスペイメントに対して以下の行政対応を求めている。

⑴ 組織的安全管理措置
ア 経営層及び従業者は、社内手続を通じるなどして個人データを取り扱っている範囲を把握するとともに、全ての個人データについて、定期的に棚卸しを実施し、個人データの取扱状況についての監査・点検を実施すること。
イ 経営層は、技術的安全管理措置を含む情報セキュリティに対する内部監査において、能動的に関与することで、内部監査機能の強化を図ること。
⑵ 技術的安全管理措置 技術的安全管理措置に関し、貴社において既に策定した再発防止策を確実に実行すること。

引用:株式会社メタップスペイメントに対する個人情報の保護に関する法律に基づく行政上の対応について

メタップスペイメントの不正アクセス被害による各社の影響

「AKB48グループチケットセンター」や「福山市スポーツ協会」、「KBCシネマ」、「CINEMA CITY」など、メタップスペイメントの不正アクセス被害は各社に多大な影響を与えている。

他にも様々な企業に影響を及ぼしているが、ここではITmedia NEWSでも大きく取り上げられていた「ローソン銀行」「日本生命保険」「日本赤十字社」への影響と対応についてみていく。

ローソン銀行

メタップスペイメントの不正アクセスによる個人情報流出以降、クレジットカード会社やメタップスペイメント、加盟店などを騙ったメールやSMSが確認されていることを2022年3月2日に公表した。

疑わしいメールやSMSを受け取ったり、疑わしいサイトにアクセスしユーザー情報を入力したりした場合は操作を中止し、ローソン銀行クレジットカードデスクに問い合わせるよう呼びかけている。

日本生命保険

日本生命保険はクレジットカード決済とコンビニ決済、ペイジー決済の3種類の決済方法にメタップスペイメントのシステムを利用していましたが不正アクセスに伴い、1月24日にクレジットカード決済、2月10日にコンビニ決済やペイジー決済の取り扱いを停止している。

2022年2月28日にはメタップスペイメントへの不正アクセスによって、日本生命保険を利用しているユーザーの個人情報が流出したと発表した。

対象期間は2021年5月6日から2022年1月25日で、流出した件数は21契約、19名のユーザーに及んでいる。流出した情報は以下のとおり。

また、流出の懸念がある情報も公表している。公表内容によれば、流出懸念のある情報は2021年10月14日から2022年1月25日のもので、流出懸念のある件数は17,711契約、14,710名にも及ぶ。

流出懸念があるのはクレジットカード決済方法で、対象となる情報はクレジットカード番号や有効期限、セキュリティコードとなっている。

ただし、対象となっているユーザーは一時的な未払込保険料などを当決済サービスで払っている方で、定期的に保険料を払っているユーザーは対象になっていない。

日本赤十字社

2022年2月28日に「クレジットカード決済」による寄付を行ったユーザーの情報が流出したと日本赤十字社が公表した。

「トークン方式クレジットカード決済情報データベース」から流出した46万395件のうち、

日本赤十字社は最大で5,283件の情報が流出した懸念があるという。

また、「決済情報データベース」から流出した434件のうち、日本赤十字社は1名含まれており、個別対応を行っているとしている。

まとめ

  • メタップスペイメントの情報流出は1部アプリケーションの脆弱性を突かれて、様々な攻撃を複合的に行われたのが原因
  • 複合的な攻撃が行われた結果、決済情報が格納されているデータベースに到達され、3つのデータベースから情報流出する事態となった
  • 特に「トークン方式クレジットカード決済情報データベース」からは最大46万395件の情報が流出したといわれているが、実際に流出した情報を特定するのは難しいのが現状
  • 情報流出はもちろん、メタップスペイメントのシステムを利用している様々な企業に影響を与えた重大インシデントとして、経済産業省と個人情報保護委員会がそれぞれ行政指導を行った。

参考文献

不正アクセスによる情報流出に関するご報告とお詫び

クレジットカード番号等取扱業者に対する行政処分を行いました

株式会社メタップスペイメントに対する個人情報の保護に関する法律に基づく行政上の対応について(令和4年7月13日)

クレカ情報流出の恐れで謝罪企業続々 AKB、公共施設、赤十字、チケットサイトなど メタップス不正アクセス問題

株式会社メタップスペイメントなどを騙ったメール、SMSにご注意ください

お客様情報の漏えいに関するお知らせとお詫び

オンライン寄付の決済サービス会社における情報流出に関する報告

PCI DSSとは