【カード決済基盤】メタップス、不正アクセスやられ放題最大46万件のカード番号やセキュリティコード流出か [香味焙煎★]

**香味焙煎 ★** · 2022/02/28(月) 11:44:37.92

クレジットカード決済基盤を提供するメタップスペイメント（東京都港区）は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。

流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」（メタップスペイメント）ため、数値は考えられる最大値という。

同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。
1月25日までに各種対策を施した上で、クレジット決済サービス「トークン方式」を全停止した。2月18日には警察に被害届を提出している。

同社は1月25日に第一報を発表。その際には、不正アクセスの原因や流出の内容は調査中としていた。

メタップスペイメントは、外部の専門家を含む再発防止委員会を設置。今回の事態を引き起こすに至ったガバナンスや組織、社員意識などの問題について議論し、4月をめどにとりまとめるとしている。
クレジットカード決済事業社向け情報セキュリティ基準「PCI DSS」に基づいたセキュリティ評価も実施する。

ITmedia
2022年02月28日 11時30分公開
https://www.itmedia.co.jp/news/articles/2202/28/news099.html

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:45:58.93

ロシアにやられたのか？

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:46:05.37

乃木坂最低だな

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:46:56.97

だからプロ用データベースは便利でも使わないほうがいい
独自プロトコルならアクセスすらできない

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:47:03.98

12月に報告受けて1月下旬に対応とかふざけすぎ

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:47:51.21

世界中が一つになってロシアの侵略をやめさせようと真剣な努力をしている時に、それを嘲笑うかのようなアマガッパ松井の発言。
これが維新。

政治家の資格なし。

ウクライナの人々の恐怖、武器を持たされている子どもたちのことを思えば、こんな発言できるはずがない。

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:48:05.48

こわっ
これ補償してくれるん？

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:48:32.54

どーでもいいことだが

最近ペイデイとかいうのの詐欺メールたくさんくるわ

これも確認してくださいとか
カードデータ搾取ページに案内する詐欺メールたくさん来そうなきがす

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:49:30.30

どういうカードの情報が漏れたのさ
テキトー過ぎやろ

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:49:31.40

メタップスインベスメントの強み

多彩な決済の中からお客様のビジネスシーンに合ったサービスをご案内いたします。

公式サイトでお笑いやってるのか

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:49:37.57

楽天カードの引き落としこないんだけどコレのせい？

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:51:27.88

>>7
何か起きれば保険が効くだろが

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:51:49.11

なんでセキュリティコード保存してるの？

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:51:54.26

やっぱり現金が一番だな

つか、これで悪用された分は、カード所有者が何かしなくても
どっかが補償してくれるのか？

- · 2022/02/28(月) 11:52:05.62

なぜセキュリティーコードを保存していた禁止

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:52:08.92

私たちは攻撃された被害者です言い出すのかな

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:52:33.75

セキュリティテストしてないの？
SQLインジェクションでやられるとか

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:53:52.33

セブン銀行、メタップス及びメタップスペイメントが業務提携の ...
2020/01/10

危ないのはこのあたり？

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:54:51.62

岸田のせいだろこれ
報復するって言われてたし

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:55:52.16

JCB加盟店にあるけどJCBブランドのカード全部？

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:57:16.52

EC利用で決済代行がどことか気にしてないよね
46万件に含まれる可能性が分からない

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:58:19.25

>>11
みずほの日常だろ
今制裁用バッチ走らせてるからじきにダウンする

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:59:14.27

>>17
新興IT企業は上場してても怖いよ
パスワードなどをハッシュ化してない企業もあったわ
そのコスト分安かったり与信が緩かったりするんだけどさ

だったら安心のためにカード会社と取引するよね
それも無理だったら現金取引でええやん
中小にとってのカードなんざ手数料や不正利用時でぼったくられるだけだし
国内中小はJ-デビットで十分だ
外人のカードなんて与信取れないし署名が嘘かも判断できない

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:59:24.86

どこで利用したのが該当すんのか教えてほしいわ

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:59:26.27

これのせいで先月jcbカードが一時使えなくなって大変な目にあったわ補償はないんかい

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:59:53.08

メタップス
×タップス

社名自体ダメだめじゃん

**ニューノーマルの名無しさん** · 2022/02/28(月) 11:59:57.05

> 、クレジット決済サービス「トークン方式」
なにこれ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:00:35.43

3D認証とか普通設定してるでしょ？

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:00:42.07

メタップス経営陣見たらお察し…

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:02:54.99

メガバンク3行とも仕事してるやん
被害者多そう

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:03:57.23

ググールにプリン売却直後か
何か関係あるのかこれ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:05:13.51

ネット広告費支払いとかに不正利用されてたのコレのせいだな。まあ、常に窃取されてる前提で使わないとな。

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:05:49.46

こういう決済事業の事は全く知らないから何で決済基盤を提供する会社がカード関連の情報持ってるんだ？と疑問に思ったんだけど基盤提供だけじゃく決済関連のサービスも丸々やってたってことなのかな？

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:06:24.06

良く読んだら５月から漏れてたからググール案件関係無さそう(´・ω・｀)

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:07:22.68

今時sqlインジェクション食らうとか

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:07:29.22

クレジットカード使うやつは情弱
Payなんちゃらとか使うやつはさらに情弱

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:09:50.62

加盟店にはカード情報非保持化させて新しいサービスに移行させておいて
その新しいサービスでカード情報漏らすという
手の込んだやり口よな

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:10:50.37

メタメタっす

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:11:27.81

>>27
お店側がカード番号やセキュリティコードを全く持たない方式

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:11:44.83

SQLでやられるとか…

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:12:07.80

アホすwwwwww
今どきSQLインジェクションとかw

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:12:19.11

そもそもこうした情報をなぜ保管しておくのか

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:12:42.75

sqlインジェクション対策なんでしてないんや
基本やん

**名無しさん＠お腹いっぱい** · 2022/02/28(月) 12:13:46.26

>>36
現金派化石は会計遅いから消えろや

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:14:29.62

>>27
トークンがどうのこうのといった迷惑メールが来てたな

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:14:33.63

>>1
だからなんでセキュリティコード保存してんだよバカ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:14:43.13

今時まともなフレームワーク使えば勝手に対策してくれるだろうにSQLインジェクションとか

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:14:52.14

>>11
今日は3日分の引き落とし日なんで、遅いところがある
月末29日から31日と28日当日ぶん

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:15:45.96

ジャップのITｗｗｗｗｗ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:16:43.49

ワラタ
これ大手全部じゃん

取引企業
https://www.metaps-payment.com/company/deal.html

コンビニエンスストア
ファミリーマート
セブン-イレブン・ジャパン
ローソン
ミニストップ
セイコーマート
ポプラ
デイリーヤマザキ
コミュニティ・ストア

クレジット
三井住友カード
ユーシーカード
スルガカード
トヨタファイナンス
ジェーシービー
アメリカン・エキスプレス（AMEX）
三井住友トラストクラブ（DINERS）
三菱UFJニコス
イオンクレジットサービス
ジャックス
クレディセゾン
ビューカード
楽天カード
アプラス
ライフカード
すみしんライフカード
オリエントコーポレーション
エポスカード
UCS

金融機関
三井住友銀行
みずほ銀行
りそな銀行
三菱UFJ銀行
ゆうちょ銀行
PayPay銀行
セブン銀行

決済サービス提供事業者
LINE Pay
PayPay
pring
NTTドコモ
KDDI
SBペイメントサービス
SMBCファイナンスサービス
みずほファクター
セブン・ペイメントサービス
イーコンテクスト

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:17:29.08

>>46
ECではなく基盤だからだろ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:17:47.49

日本赤十字もこの件で5,000件ほど漏れたって言ってるな

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:18:43.53

>>50
セブンは前も流出させてたな
2回目ｗ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:20:10.80

https://i.imgur.com/LSK74Md.jpg
なるほど、セキュリティ対策バッチリだね！

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:20:12.27

クレジットカード全て再発行が必要なレベル

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:20:27.55

ある程度の大手だと対策内容の確認書類があるんだけどな
虚偽署名してたら契約してしまうけどね
なんでこんなに大手決済がズラズラ並ぶところがこんな初歩的な・・・

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:20:39.77

バカ会社やんかぁ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:21:26.45

セキュリティーコードを持っていた事自体、罪。取り潰しでいいよこんな企業。

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:21:44.31

>>50
それは決済サービス側っぽいから被害側じゃない
被害があるのは加盟店のECサイトとか店舗の方、たぶん公表されてない

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:22:58.58

なんしとんねん

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:23:21.59

SQLインジェクション対策なんて基本中の基本だろ
ハード側を中心としたセキュリティ対策しかしてないのか

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:24:36.75

SQLインジェクション対策なんてWAFっていうハードウェア（仮想でもOK）でも可能なんですけどね

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:24:42.97

>>39
お店が持たない代わりにメタップスが持つ仕組みになっていたのか？
セキュリティコードの保存って必要だったの？

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:25:45.97

グーグルもプライバシー無いんで排除で

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:26:09.49

>>58
だね
PCI DSS 違反だよねｗ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:26:12.71

●も保存禁止のセキュリティコード流出させたやん

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:26:26.32

>>11
今日ちゃんと引き落とされてたぞ。

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:26:44.48

ps5を定価の２倍くらいで購入した俺ヤバいかも笑

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:27:31.49

SQLよか
DBの大量ダウンロード検知できないセキュリティの設計思想が問題だろ
ここのサービス全てがセキュリティより速度の設計思想だから
ここが絡むサービスは絶対使わない方がいい

他にも問題出てくるぞ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:29:26.12

>>44
なんじゃそりゃｗ
ケツの穴の締まる野郎だな

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:30:07.99

社内システムの不正ログインて、
外からアクセスできる決済情報扱う社内システムにVPNもないの？

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:30:17.78

指摘から発表までどんだけ時間かかってんだよ屑

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:30:21.25

やっぱり手動チャージ式の電子マネーがさいつよなのよ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:30:59.09

>>22
ああ、なるほど…
ありそうだな

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:32:59.99

>>13
保存しちゃいかんのにな

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:33:37.62

ココクーポンのやつか

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:33:46.23

ここはどんな系統

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:33:48.71

>>44
FeliCaって言いたいのでは
さすがに現金じゃないでしょ…

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:34:04.33

どこで、お買い物してたらNGなんだ？
まずは、そこからだろ。

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:34:16.69

ちょうどこの期間中にクレカ不正利用されてセキュリティ働いて停止再発行したんだけど関係あるのかな

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:34:21.91

Googleが買収したんだっけ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:34:42.82

>>37
EC店のカード情報非保持化は、2018年頃からの経産省の指導

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:35:23.14

Google、スマホ決済「pring」を買収--メタップスが正式発表

pringは、メタップス、みずほフィナンシャルグループ、みずほ銀行、WiLとともに2017年5月に設立。

ここにもみずほ

https://japan.cnet.com/article/35173821/

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:35:27.76

>>1
12月にユーザー側からエラッタ発見報告があって
不正アクセスが年明けの1月って完全に内部犯やんけ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:35:50.79

>>3
それ関係アルノ？

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:36:34.02

>>79
>>50

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:36:39.64

最近やたらクレジットカードの不正利用多いと思ったわ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:37:23.21

>>50
おいおいおい

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:37:43.79

>>79
決済代行会社なので分からない

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:38:10.94

どこの店か公表するか、漏れた可能性のある該当者にはちゃんと連絡したんか？
全部非公表、利用者が問い合わせてきた時のみ対応なんて馬鹿なことしないだろうな？

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:38:50.93

カード会社はここに賠償請求していいのでは

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:39:53.64

>>50
決済サービス提供先じゃないので、そんなもん貼ると風評の流布でヤバいぞ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:40:45.35

どうせ謝罪で終わりなんだろうな
総務省がザルすぎて洩らされ損

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:41:41.17

ロシアを妨害すると見せかけたウクライナとアノニマソのセコいハッキング活動

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:42:23.32

セキュリティコードを保管する業者は営業停止処分にしろよ。
そんなバカ業者にネット決済する資格なし！

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:42:23.55

https://ticket.akb48-group.com/home/management_notice.php?seqNo=08841&;ev=99999
AKBのチケットセンターもここだな
数カ月前から現金決済のみになったが

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:42:43.11

>>92
メタップスのホームページに出ている取引先情報ですけど何か？

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:43:53.18

>>92
これらの会社は顧客に知らせる義務があるだろ、それを代わりにやってるんだからいいんでないの

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:44:25.74

>>4
どういう事だよ

**ニューノーマルの名無しさん** · 2022/02/28(月) 12:45:33.49

楽天カードが、アメリカの衣料品店のネットショップで使われたり、海外の英会話教室のサブスクリプションに登録されたのはこのせいか。
どの決済が原因なのか調べなきゃな。