• はてなブックマーク
  • テクノロジー
  • メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
  • Twitterでシェア
  • Facebookでシェア

メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く

テクノロジー カテゴリーの変更を依頼 記事元:blog.tokumaru.org
適切な情報に変更
421 usersがブックマーク コメント39

    記事へのコメント39

    • 注目コメント
    • 新着コメント
    studymonster
    studymonster “自社で実施した脆弱性診断ではXSS脆弱性が検出されていたが、高危険度の脆弱性があるとPCI DSSの審査に通らないため、報告書を改ざんして脆弱性自体をなかったことにした” うわぁ。

    2022/07/04 リンク

    その他
    prograti
    prograti "「決済システム以外は脆弱性対策をする必要がない」との認識があった" 技術力以前の問題ですね。

    2022/07/04 リンク

    その他
    fukken
    fukken 脆弱性報告書の改ざん(しかも直してない)、決済代行業者なのに管理ツールにインターネットからアクセス可能、JSPがアップロード可能な管理機能...ツッコミが追いつかない。

    2022/07/04 リンク

    その他
    estragon
    estragon 「侵入の発端となった脆弱性は、クロスサイトスクリプティングおよびSQLインジェクションという非常に基本的なものでありますが、仮にそれらの脆弱性があっても、他の保険的な対策や侵入発見後の対処が適切であれば、

    2022/07/04 リンク

    その他
    awkad
    awkad 「銀行はなんであんなに金かけてあんなに開発遅いの?」「何やるのも遅い」と言ってるキラキラエンジニアたちの作るシステムはこんなもの。こんなレベルでよければ大手銀行+SIerでそれなりのスピード感でやれるよ

    2022/07/04 リンク

    その他
    hdkINO33
    hdkINO33 “自社で実施した脆弱性診断ではXSS脆弱性が検出されていたが、高危険度の脆弱性があるとPCI DSSの審査に通らないため、報告書を改ざんして脆弱性自体をなかったことにした” わあ。

    2022/07/18 リンク

    その他
    KoshianX
    KoshianX 報告書を改ざんってのはさすがにアレだな……

    2022/07/05 リンク

    その他
    toshiwo
    toshiwo 読み進めるたびに、散々な事実が明るみになっていく

    2022/07/05 リンク

    その他
    Tezcatlipocasan
    Tezcatlipocasan 元スクエニ和田洋一が取締役やっていてびっくりしました

    2022/07/05 リンク

    その他
    kamorou
    kamorou メモメモ

    2022/07/05 リンク

    その他
    diabah_blue
    diabah_blue IT界の現場猫。

    2022/07/05 リンク

    その他
    blueeyedpenguin
    blueeyedpenguin 時系列読んでるだけでびっくり。攻撃者も困惑したのでは。

    2022/07/04 リンク

    その他
    oldriver
    oldriver “PCI DSSの審査に通らないため、報告書を改ざんして脆弱性自体をなかったことに” ←この状況下でもこの会社のサイトには「PCI DSS準拠」が謳われてるのホラーでしかない。なんで業務継続できてるのだろう?金融庁?

    2022/07/04 リンク

    その他
    sho
    sho 公開情報が十分じゃないから、想像で補ってる部分が多すぎてなんだかなぁという感じ。(もしくは公開情報は想像の上を行きすぎている)

    2022/07/04 リンク

    その他
    mkusunok
    mkusunok ちょ、発見しておいて何故修正しなかったのか→自社で実施した脆弱性診断ではXSS脆弱性が検出されていたが、高危険度の脆弱性があるとPCI DSSの審査に通らないため、報告書を改ざんして脆弱性自体をなかったことにした

    2022/07/04 リンク

    その他
    havanap
    havanap ひえー

    2022/07/04 リンク

    その他
    d6rkaiz
    d6rkaiz 事故発覚後、ここの求人がいくつも大量に発生してたな。

    2022/07/04 リンク

    その他
    tastasto
    tastasto これ被害にあったんだけど支払う先の業者がまだここのサービス使ってて、ホンマふざけんな支払いしたくないわ

    2022/07/04 リンク

    その他
    Shalie
    Shalie "自社で実施した脆弱性診断ではXSS脆弱性が検出されていたが、高危険度の脆弱性があるとPCI DSSの審査に通らないため、報告書を改ざんして脆弱性自体をなかったことにした"。組織とか指揮系統に関する課題が気になる。

    2022/07/04 リンク

    その他
    dltlt
    dltlt 素人としては、PCIDSS審査のための脆弱性検査を自社でやってよいというのに驚く。A社アプリの同居も監査が入れば気づくはずだが、737-MAXの認証のように「ジェダイ心理操作」されたか……それとも内部監査だけだったか?

    2022/07/04 リンク

    その他
    Mofuyuki
    Mofuyuki 前にもらったここからのスカウト、相手にしなくてよかったまじで。ニュースのたびに思うわ。

    2022/07/04 リンク

    その他
    augsUK
    augsUK 報告書の改竄とか関連した人すべて二度と決済システムに関わって欲しくないし、こんな会社のシステムが広く利用されてたのもなんなのだろう

    2022/07/04 リンク

    その他
    Falky
    Falky いやあ。。。。

    2022/07/04 リンク

    その他
    ryouchi
    ryouchi 相変わらず切れ味鋭い徳丸節

    2022/07/04 リンク

    その他
    awkad
    awkad 「銀行はなんであんなに金かけてあんなに開発遅いの?」「何やるのも遅い」と言ってるキラキラエンジニアたちの作るシステムはこんなもの。こんなレベルでよければ大手銀行+SIerでそれなりのスピード感でやれるよ

    2022/07/04 リンク

    その他
    degage122
    degage122 “決済代行事業社からクレジットカード情報が大量に漏洩するという衝撃的な事件でありましたが、漏洩に至る経緯も驚くべきもので、第三者委員会報告書はセキュリティ関係者にとって非常に学びの多い資料だと…”

    2022/07/04 リンク

    その他
    defiant
    defiant この記事をおすすめしました:

    2022/07/04 リンク

    その他
    Sakana_Sakana
    Sakana_Sakana コレ、クレカ決済の許可してくれるんだろうか、相当マズイ体制な気がするんだが

    2022/07/04 リンク

    その他
    YassLab
    YassLab “必要な範囲でセキュリティアラートを発信するようにするためのシステム面での調整が出来ていないことも相まって、MPの従業員は、セキュリティアラートが発信されても、特段気にして監視していなかった”

    2022/07/04 リンク

    その他
    isdh
    isdh 管理画面狙い

    2022/07/04 リンク

    その他
    fu_kak
    fu_kak ぬぉおますます許せんメタップスペイメント(根に持ってる

    2022/07/04 リンク

    その他
    greenbow
    greenbow オオカミ少年みたいなことかしら。 “セキュリティアラートが発信されても、特段気にして監視していなかった”

    2022/07/04 リンク

    その他
    dollarss
    dollarss こーりや完全に有罪でしょう…脆弱性検査通らないから改ざんて…こんなの通るならどんな検査も無意味だよ企業体質の問題。絶対にクレカ情報を扱っていい企業じゃない

    2022/07/04 リンク

    その他
    kabuquery
    kabuquery ボロボロじゃん

    2022/07/04 リンク

    その他
    fukken
    fukken 脆弱性報告書の改ざん(しかも直してない)、決済代行業者なのに管理ツールにインターネットからアクセス可能、JSPがアップロード可能な管理機能...ツッコミが追いつかない。

    2022/07/04 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く

    株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩し...

    ブックマークしたユーザー

    • techtech05212023/09/07 techtech0521
    • okumuraa12022/08/08 okumuraa1
    • karahiyo2022/08/08 karahiyo
    • kwy2022/08/04 kwy
    • kazkun2022/07/19 kazkun
    • hdkINO332022/07/18 hdkINO33
    • kyaido2022/07/18 kyaido
    • mog13942022/07/17 mog1394
    • hamaco2022/07/11 hamaco
    • fuyu772022/07/08 fuyu77
    • donotthinkfeel2022/07/07 donotthinkfeel
    • yuiseki2022/07/07 yuiseki
    • stntaku2022/07/07 stntaku
    • miki_bene2022/07/06 miki_bene
    • ktakeda472022/07/06 ktakeda47
    • suzuki7172022/07/06 suzuki717
    • hush_in2022/07/06 hush_in
    • ChillOut2022/07/06 ChillOut
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.