メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる

クレジットカード決済基盤を提供するメタップスペイメント（東京都港区）は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。 流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」（メタップスペイメント）ため、数値は考えられる最大値という。 同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベー

[yuangao]

セキュリティコードが流出、って保存してるの…。しかも決済専門の会社で…。

[matsuedon]

ところであまり聞かないサービスだけど、どんなところで利用されてるのか、自分が被害者の可能性があるのかどうかがさっぱりわからん。

[srgy]

「メタップス、不正アクセスやられ放題」友蔵 心の俳句

[hajimechan0323]

この手の決済サービスってユーザーとしては、利用可否を選べないので辛い。

[rzi]

12/14に発覚してから1度問題なしってアナウンス出して被害拡大させてんだよね。調査にも時間かかりすぎだし、クレカ扱っていい会社じゃない。

[m_yanagisawa]

サービス提供先が気になる。

[nntsugu]

セキュリティコードを保持している、SQLインジェクションできちゃうなどいつの時代に作った決済システムだよ感ある作りやね…

[yskn-beer]

これは2022年度セキュリティインシデント大賞ノミネート

[mohno]

「最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出」「サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていた」←決済システムで、これか。

[door-s-dev]

うーむ、自分が該当するのか調べないとダメかなぁ。 https://www.metaps-payment.com/company/20220228.html

[nobodyplace]

決済会社だからカード番号や有効期限が保存されているのは問題ないとしても、セキュリティコードがダメらしい。まあ、問題はそこじゃないみたいだけど

[asakura-t]

↓「コミケの（入場）チケットを扱ってた会社」とあってヤバい？と思ったけど、あれはコンビニ決済のみだった。クレカ利用可だったら色々ヤバかったな。

[kitaido0]

９９年会社設立だから２０年やってると信用力がつくんかな／PCI DSS認証の問題でもあるんでは

[tohima]

決済サービスとは思えない杜撰さ。

[richard_raw]

セキュリティコード保存しとったんかい！/影響範囲がよくわかりませんな。

[text-sakura-ne-jp]

《関連情報》『クレカ情報流出の恐れで謝罪企業続々 AKB、公共施設、赤十字、チケットサイトなど メタップス不正アクセス問題 - ITmedia NEWS』https://www.itmedia.co.jp/news/articles/2202/28/news159.html

[quno]

46万件というとカード会社の再発行にかかる費用も馬鹿にならないだろ

[TakayukiN627]

だいぶ対応が遅い

[yoshikie]

PCIDSS認証取ってたみたいだけど、この状態で取れるとなると認証の意味とは、、、となってしまうな

[hachibeechan]

'ガバナンスや組織、社員意識などの問題'……じゃなくて技術力の問題でしょ。基礎中の基礎がどれもできてないじゃん

[chromoni]

ひどいタイトルだなって読んだら、その通りだった。

[hiroomi]

”サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。”

[lli]

みずほ銀行が出資して協業もしてるね。また頭取の顔が青くなるな・・・

[marumoe-dev]

“ニュース”

[TownBeginner]

確かJBSこれじゃなかったっけ？調べないとなあ。

[onesplat]

こういうガバナンスも能力も企業倫理も無いクソ会社を業界が自浄できないと規制で首を絞められる。

[crema]

私もアップリンクから1月にメールが来ていたのを今日見つけました…😇

[mricopp]

ここまでやばいレベルなら責任取れるレベルも超えているので、もう二度と決済事業できないようにしてほしい。

[n2s]

記事の論調は週刊誌・スポーツ紙ぽいのではないだけに、タイトルの「やられ放題」だけがむっちゃ浮いてるな…

[ponponhanahana]

本当だ。ブコメの通り、取引先が大きすぎる。関係事業者明かしてほしい。どうするのがいいのか。。

[rna]

セキュリティコードはよくあるフォーム改竄で横取りされたんじゃない？と思ったらリリースには「データベース」から流出したって書いてあって真顔になった。

[okami-no-sacchan]

自分が被害に遭ってるのかどうかわからん/決済仲介してるだけなのになんでそんなに情報ストックしてんの

[jajaja9000]

ほええ

[lenore]

メタップスには契約会社を公表して欲しい。そうじゃないとどこで使われたかが分からん。セキュリティコードを含む情報がDBから漏れたと発表されているが、そうするとVISAなどの規約違反に問われるのでは。保存ダメ絶対

[nishik-t]

国内ローカルで世界的にはマイナーな決済代行使うのってリスク高いよね。世界シェアTOPレベルのStripeとかPaypalだとセキュリティはしっかりしてそうだし、やられても死なばもろとも的にごまかせそうｗ

[bongkura]

pci dss 更新してんの？

[noritada]

決済会社は絶対に狙われるとわかっているのに、なぜセキュリティコードの保存のようなことをやってしまうケースが多いのか。

[kuracom]

セキュリティコード保存していたんではなくて、フォームから送られて与信に通すデータが全部、バックドア通じてだだ漏れだったんじゃないかな。またはカード情報の入力フォームに細工がしてあったとか。

[kazatsuyu]

流出したならもうインシデントじゃないでしょ。アクシデントだよ

[adsty]

調査したところ様々な攻撃を受け過ぎていた。