ITよろづや

ITから生活の参考になる情報を備忘録代わりに残していきます

カード情報が最大46万件流出 不正アクセス メタップスペイメント 日本赤十字社、日本生命保険でカード利用者は注意

f:id:merrywhite:20200831231815j:plain

 

またまたクレジットカードの情報流出があったようです・・・。

 

情報元はこちら。

クレジットカード情報、最大46万件が流出か システムに不正アクセス - ライブドアニュース

 

クレジットカードの決済システムを手掛けるメタップスペイメントは28日、同社のシステムに不正アクセスがあり、最大46万件のカード番号や有効期限などが流出した可能性があると発表した。情報が不正利用される恐れがあり、同社やこのシステムを使っていた滋賀県日本赤十字社日本生命保険は利用者に注意を呼び掛けている。

 

 流出した可能性があるのは、昨年10月14日から今年1月25日に利用されたクレジットカード。情報流出の恐れがある利用者には加盟店を通じて個別に連絡するという。

 

 このほかメタップスペイメントが決済情報を保存している別のデータベースにも不正アクセスがあった。

 

このシステムを使っていた滋賀県日本赤十字社日本生命保険は利用者に注意を呼び掛けているとのことですが、おそらくメールを毎日チェックしている人は多くはないと思います。

 

さらに、いろんなメールが来ていたらうずもれる可能性も否定できません。これに気付いた方はすぐにチェックしたほうがいいです。

 

 

さらに詳細がyahooニュースにありました。

最大46万件超えの情報流出--メタップスペイメントの不正アクセス、調査結果を発表(CNET Japan) - Yahoo!ニュース

 

 

同件について詳しくは、決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を利用し、不正アクセスが行われていたという。

 攻撃は、2021年8月2日から2022年1月25日にわたり、(1)社内管理システムへの不正ログイン、(2)一部アプリケーションへのSQLインジェクション、(3)不正ファイル(バックドア)設置――の事項が複合的に行われ、個人情報を含む情報が外部に流出した。

 具体的には、決済情報などが格納されている「トークン方式クレジットカード決済情報データベース」「決済情報データベース」「加盟店情報データベース」の3つのデータベースに対し不正アクセスがあり、それぞれから情報が流出したという。

 トークン方式クレジットカード決済情報データベースでは、2021年10月14日から2022年1月25日に利用されたクレジットカード情報(カード番号、有効期限、セキュリティコードなど)が最大46万395件流出した。

 決済情報データベースでは、2021年5月6日から2022年1月25日に利用されたクレジットカード決済情報(カード番号、有効期限)が434件、コンビニ決済情報(氏名、電話番号、メールアドレス)が109件、ペイジー決済情報(氏名、郵便番号、住所、電話番号)が17件、電子マネー決済情報(メールアドレス)が33件の合計593件が流出。

 加盟店情報データベース情報(加盟店名、加盟店コード)の流出は38件となっている。

 なお、現時点では、各事項の防止や排除などの対策が完了しているという。

 

社内管理システムへの不正ログインがされている時点で内部侵入に成功しています。その後、脆弱性を狙った攻撃により問題につながるわけですが、いろいろとセキュリティの甘さを感じてしまいますよね。

 

時が過ぎてからでは遅いですし、企業はやはり定期的にセキュリティ診断をしたほうがいい気がしますね。今の時代、多重防御が当たり前の時代です。個人的には、あまりカード情報はネットで登録しないことをおすすめします。。