24. 決済代行

1. 本件の概要
弊社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を利用され、不正アクセスが行われました。
攻撃は、2021年8月2日から2022年1月25日にわたって以下の事項が複合的に行われ、決済情報等が格納されているデータベースにまで達し、
個人情報を含む情報が外部に流出したことが判明いたしました。
なお、現時点におきましては、各事項の防止や排除等の対策は完了しております。
① 社内管理システムへの不正ログイン
不正ログイン対策として、ログイン認証方式の強化を実施しております。また、不正ログインを起因とした同一環境下への影響を防止するため、
システム環境の分離を完了しております。
② 一部アプリケーションへのSQLインジェクション
アプリケーションに対して不正な命令を実行させる「SQLインジェクション」対策として、接続元の限定および、
攻撃から狙われるような脆弱性に対する修正を完了しております。
③ 不正ファイル（バックドア）の設置
不正侵入するための裏口を管理者に気づかれないように設置する不正ファイルである「バックドア」の削除完了を確認しております。
２. 不正アクセスおよび流出情報について
今回は決済情報等が格納されている3つのデータベースに対し不正アクセスがあり、それぞれから情報が流出いたしました。
① トークン方式クレジットカード決済情報データベース
2021年10月14日から2022年1月25日に利用されたクレジットカード番号数（括弧内は流出情報）
：460,395件（カード番号、有効期限、セキュリティコード）
第三者調査において、本データベースから断続的に情報の流出があったことは確認されていますが、弊社にて実際に流出した情報を特定することはできず、
また、第三者調査機関からも特定は困難との見解を得たため、流出した可能性としては最大で上記全件数となります。
② 決済情報データベース
2021年5月6日から2022年1月25日に利用されたお客様のデータ保有件数

引用
不正アクセスによる情報流出に関するご報告とお詫び | 株式会社メタップスペイメント (metaps-payment.com)

クレジットカード決済 (※1)

2,415,750件（カード番号、有効期限）(※2)

コンビニ決済

824,483件（氏名、電話番号、メールアドレス)

ペイジー決済

170,435件（氏名、郵便番号、住所、電話番号）

電子マネー決済

980,490件（メールアドレス）

(※1) 2,415,750件には上記①の460,395件を含みます。

(※2) 保有データの一部に氏名・電話番号・住所・メールアドレスが含まれる場合があります。

弊社における調査の結果、上記②の中から判明した情報流出件数は以下の通りです。(※3)

クレジットカード決済1

434件（カード番号、有効期限）(※2)

コンビニ決済

109件（氏名、電話番号、メールアドレス）

ペイジー決済

17件（氏名、郵便番号、住所、電話番号）

電子マネー決済

33件（メールアドレス）

合計

593件

(※3) 調査方法
1.不正ファイルへのアクセスログ日時を抽出
2.抽出したログに該当するパケットデータを取得
3.取得したパケットデータの要求、応答を確認
4.応答値から窃取されたデータより件数を確認
③ 加盟店情報データベース

38件（加盟店名、加盟店コード）

3. 情報流出が懸念されるお客様への対応について

① お客様へのお知らせ
・情報流出が懸念されるお客様については、弊社決済サービスを提供している加盟店様を通じて電子メール等により順次ご連絡をさせていただく予定です。
・弊社が運営する「会費ペイ」「イベントペイ」をご利用のお客様に対しては、弊社から直接電子メールによりご連絡申し上げます。
② お客様ご相談窓口の設置
情報流出が懸念されるお客様を対象に以下の通り専用電話窓口を設置しております。ご不明な点がございましたら、
まずは下記の弊社窓口までお問い合わせください。
≪ご利用者様向け お客様相談窓口≫
・受付時間：9:00 ～ 21:00（土日祝日も受付）
・電話番号：0120-816620（フリーダイヤル）
③ クレジットカードのご利用明細書の再確認のお願い
誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。
万が一、身に覚えのない請求項目の記載があった場合は、大変お手数ですが同クレジットカードの裏面に記載のカード会社様に
お問い合わせいただきますよう、お願いいたします。
なお、カード会社様へお問い合わせの際は、スムーズなお手続きのため「メタップスペイメントの不正アクセスの件」
である旨をお申し出いただきますよう併せてお願いいたします。
④ クレジットカードの差し替え
お客様がクレジットカードの差し替えをご希望される場合、カード再発行の手数料につきましてはお客様にご負担をお掛けしないよう、
弊社よりクレジットカード会社様に依頼しております。
⑤ 不正利用モニタリング
弊社ではクレジットカード会社様と連携し、流出した可能性があるクレジットカード情報による取引のモニタリングを可能な限り実施することで、
不正利用の防止に努めてまいります。
4. 経緯と対策詳細
2021/12/14
クレジットカード会社より弊社提供サービス「イベントペイ」での不正利用懸念の連絡を受領
2021/12/15
クレジットカード会社から情報提供を受けたものの、弊社調査で原因を特定できず、第三者機関によるフォレンジック調査を含めた対応とすることを決定。
2021/12/16
「イベントペイ」内でのクレジットカード決済停止
2021/12/17
第三者機関によるフォレンジック調査の開始
クレジットカード会社から追加の不正利用懸念対象情報を受領
(2021/12/28から2022/1/5にかけて、上記「イベントペイ」に加え「会費ペイ」を含む新たに3サイトのクレジットカード新規決済を停止)
2021/12/29
4サイトにおいて不正アクセスによる漏洩懸念が発生し当該サイト管理者様へ連絡するとともに調査を開始した旨を一部加盟店様に通知
2022/1/5
一部アプリケーションへのSQLインジェクションを確認
2022/1/8
社内管理システムへの不正ログイン、および一部アプリケーションへのSQLインジェクションの防止や排除等の対策を完了
2022/1/21
フォレンジック調査の過程で情報流出懸念を強める事象を新たに確認
2022/1/24
不正ファイル（バックドア）の存在を確認
2022/1/25
クレジット決済サービス「トークン方式」について全停止
バックドアとなる対象プログラムの全削除を完了
「不正アクセスに関するご報告とお詫び」公表
2022/2/8
フォレンジック調査の最終報告書を受領
2022/2/18
警察に被害申告
2022/2/28
「不正アクセスおよび情報流出に関するご報告とお詫び」公表
※その他「経済産業省」「関東財務局」「個人情報保護委員会」「JIPDEC」には情報連携を行っております。
５. 今後の対応
(1) PCI DSSアセスメントについて
第三者調査機関による検査の結果、対応済みの上記問題以外には脆弱性の認められるソフトウェアは検出されておらず、
また、不正アクセスの防御対策も完了していますが、２か月後を目途に、再度PCI DSSアセスメントを実施する予定です。
(2)「再発防止委員会」の設置
弊社では本件を重く受け止め、専門のアドバイザーも含めた委員会を設置いたします。システム面、運用面でのさらなる事実関係の検証のみならず、
本件に至ったガバナンス体制や組織体制、社員の意識などの本質的問題に深めて議論を尽くし、2022年4月をめどに取りまとめを行います。

委員長 和田洋一

代表取締役社長

委員 増沢将秀

取締役

委員 地井良太

取締役

委員 佐々木康太

システム責任者

委員 原大輔

株式会社メタップス執行役員

委員 安本聖一

株式会社メタップス監査部長

専門家アドバイザー

柳沢知樹　TMI総合法律事務所

専門家アドバイザー

野﨑周作　P.C.F. FRONTEO株式会社代表

改めまして、お客様ならびに関係者の皆様には、多大なご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。
全社を挙げて、一刻も早い事態の収拾と再発防止に取り組み、お客様の信頼回復に努めてまいります。

引用
https://www.metaps-payment.com/company/20220228.html