2022年03月01日

【カード決済基盤】メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か

■【カード決済基盤】メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か [香味焙煎★](5ちゃんねる)

引用ここから〜〜〜〜〜〜〜〜
1 香味焙煎 ★ sage ▼ 2022/02/28(月) 11:44:37.92 ID:sYzltTOx9
クレジットカード決済基盤を提供するメタップスペイメント(東京都港区)は2月28日、同社のデータベースから最大で46万件のクレジットカード番号、有効期限、セキュリティコードなどが流出したと発表した。サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが調査で分かった。

流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。「実際に流出した情報を特定できない」(メタップスペイメント)ため、数値は考えられる最大値という。

同社は21年12月14日に、サービスの提携先からクレジットカードの不正利用が懸念されているとの連絡を受け調査を開始。22年1月中に、外部からデータベースを不正操作するSQLインジェクション攻撃、社内システムへの不正ログイン、バックドアの存在を確認した。
1月25日までに各種対策を施した上で、クレジット決済サービス「トークン方式」を全停止した。2月18日には警察に被害届を提出している。

同社は1月25日に第一報を発表。その際には、不正アクセスの原因や流出の内容は調査中としていた。

メタップスペイメントは、外部の専門家を含む再発防止委員会を設置。今回の事態を引き起こすに至ったガバナンスや組織、社員意識などの問題について議論し、4月をめどにとりまとめるとしている。
クレジットカード決済事業社向け情報セキュリティ基準「PCI DSS」に基づいたセキュリティ評価も実施する。

ITmedia
2022年02月28日 11時30分 公開
https://www.itmedia.co.jp/news/articles/2202/28/news099.html




5 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 11:47:03.98 ID:u0sEnbl+0
12月に報告受けて1月下旬に対応とかふざけすぎ


7 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 11:48:05.48 ID:kVpeHeVT0
こわっ
これ補償してくれるん?


12 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 11:51:27.88 ID:xsU7yKBw0
>>7
何か起きれば保険が効くだろが


8 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 11:48:32.54 ID:pweWM/CW0
どーでもいいことだが

最近ペイデイとかいうのの詐欺メールたくさんくるわ

これも確認してくださいとか
カードデータ搾取ページに案内する詐欺メールたくさん来そうなきがす


9 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 11:49:30.30 ID:jN4SdrHB0
どういうカードの情報が漏れたのさ
テキトー過ぎやろ


10 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 11:49:31.40 ID:LbfWIsQp0
メタップスインベスメントの強み

多彩な決済の中からお客様のビジネスシーンに合ったサービスをご案内いたします。


公式サイトでお笑いやってるのか


13 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 11:51:49.11 ID:NeNgCanX0
なんでセキュリティコード保存してるの?


75 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:32:59.99 ID:2PuToL8t0
>>13
保存しちゃいかんのにな


14 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 11:51:54.26 ID:6tAn5I2I0
やっぱり現金が一番だな

つか、これで悪用された分は、カード所有者が何かしなくても
どっかが補償してくれるのか?


15 - ▼ 2022/02/28(月) 11:52:05.62 ID:GR67bCyc0
なぜセキュリティーコードを保存していた禁止


16 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 11:52:08.92 ID:gGIo3Mbg0
私たちは攻撃された被害者です言い出すのかな









17 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 11:52:33.75 ID:LDu00f4J0
セキュリティテストしてないの?
SQLインジェクションでやられるとか


23 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 11:59:14.27 ID:JWIqPR750
>>17
新興IT企業は上場してても怖いよ
パスワードなどをハッシュ化してない企業もあったわ
そのコスト分安かったり与信が緩かったりするんだけどさ

だったら安心のためにカード会社と取引するよね
それも無理だったら現金取引でええやん
中小にとってのカードなんざ手数料や不正利用時でぼったくられるだけだし
国内中小はJ-デビットで十分だ
外人のカードなんて与信取れないし署名が嘘かも判断できない


21 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 11:57:16.52 ID:yh+FukRe0
EC利用で決済代行がどことか気にしてないよね
46万件に含まれる可能性が分からない


24 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 11:59:24.86 ID:u3Z83bh60
どこで利用したのが該当すんのか教えてほしいわ


25 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 11:59:26.27 ID:nrKNT+h90
これのせいで先月jcbカードが一時使えなくなって大変な目にあったわ補償はないんかい


26 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 11:59:53.08 ID:U+CkIX2P0
メタップス
×タップス

社名自体ダメだめじゃん


28 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:00:35.43 ID:8QfeAPts0
3D認証とか普通設定してるでしょ?


29 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 12:00:42.07 ID:eZHVR/sG0
メタップス経営陣見たらお察し…


30 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 12:02:54.99 ID:kVpeHeVT0
メガバンク3行とも仕事してるやん
被害者多そう


32 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:05:13.51 ID:cYLVoPkC0
ネット広告費支払いとかに不正利用されてたのコレのせいだな。まあ、常に窃取されてる前提で使わないとな。


33 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:05:49.46 ID:qyulC8VYO
こういう決済事業の事は全く知らないから何で決済基盤を提供する会社がカード関連の情報持ってるんだ?と疑問に思ったんだけど基盤提供だけじゃく決済関連のサービスも丸々やってたってことなのかな?


37 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:09:50.62 ID:TgGnA/iT0
加盟店にはカード情報非保持化させて新しいサービスに移行させておいて
その新しいサービスでカード情報漏らすという
手の込んだやり口よな


42 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 12:12:19.11 ID:3rby2pDO0
そもそもこうした情報をなぜ保管しておくのか


47 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 12:14:43.13 ID:my/RMbht0
今時まともなフレームワーク使えば勝手に対策してくれるだろうにSQLインジェクションとか









50 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:16:43.49 ID:YnIV1D4l0
ワラタ
これ大手全部じゃん


取引企業
https://www.metaps-payment.com/company/deal.html

コンビニエンスストア
ファミリーマート
セブン-イレブン・ジャパン
ローソン
ミニストップ
セイコーマート
ポプラ
デイリーヤマザキ
コミュニティ・ストア

クレジット
三井住友カード
ユーシーカード
スルガカード
トヨタファイナンス
ジェーシービー
アメリカン・エキスプレス(AMEX)
三井住友トラストクラブ(DINERS)
三菱UFJニコス
イオンクレジットサービス
ジャックス
クレディセゾン
ビューカード
楽天カード
アプラス
ライフカード
すみしんライフカード
オリエントコーポレーション
エポスカード
UCS

金融機関
三井住友銀行
みずほ銀行
りそな銀行
三菱UFJ銀行
ゆうちょ銀行
PayPay銀行
セブン銀行

決済サービス提供事業者
LINE Pay
PayPay
pring
NTTドコモ
KDDI
SBペイメントサービス
SMBCファイナンスサービス
みずほファクター
セブン・ペイメントサービス
イーコンテクスト


143 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 15:08:26.46 ID:rQqetxyZ0
>>50
これはEC業者がメタップスの決済システムを導入するとそれらのカードで決済できるようになります!という意味ね。
小さいEC事業者がそれらのカード会社と個別に審査受けて契約結んでというのは大変すぎるので。

実際には包括契約といって、メタップスがそれらのカード会社と契約を結んで、メタップスが申し込んで来たEC事業者を審査することでメタップスとカード会社の契約に背乗りさせてあげるような関係になる。

なので被害を受けた可能性があるのはメタップス決済を導入しているECショップで買い物をした人。
で、かつ「カード番号保存機能」みたいなのでクレカを登録した人になるだろな。

決済代行システム業者も便利機能としてカード登録機能を用意してるのが一般的だけど、こういう事故に繋がる諸刃の剣でもあるんだ。


147 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 15:16:51.57 ID:7UGmXWTH0
>>143
解り易い


148 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 15:19:18.51 ID:63usb03L0
>>143
その店を知りたい…


52 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 12:17:47.49 ID:xXLPAH9R0
日本赤十字もこの件で5,000件ほど漏れたって言ってるな


56 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:20:27.55 ID:JWIqPR750
ある程度の大手だと対策内容の確認書類があるんだけどな
虚偽署名してたら契約してしまうけどね
なんでこんなに大手決済がズラズラ並ぶところがこんな初歩的な・・・


58 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 12:21:26.45 ID:fJr9cT+W0
セキュリティーコードを持っていた事自体、罪。取り潰しでいいよこんな企業。


65 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 12:26:09.49 ID:CtSXOkjh0
>>58
だね
PCI DSS 違反だよねw


72 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 12:30:17.78 ID:Gnp0oZDP0
指摘から発表までどんだけ時間かかってんだよ屑


79 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:34:04.33 ID:zKfCtJkN0
どこで、お買い物してたらNGなんだ?
まずは、そこからだろ。


89 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:37:43.79 ID:zd5DST8e0
>>79
決済代行会社なので分からない


80 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 12:34:16.69 ID:fDW8yAo/0
ちょうどこの期間中にクレカ不正利用されてセキュリティ働いて停止再発行したんだけど関係あるのかな


84 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 12:35:27.76 ID:qUwtVd5l0
>>1
12月にユーザー側からエラッタ発見報告があって
不正アクセスが年明けの1月って完全に内部犯やんけ









87 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:36:39.64 ID:pWfeoS6O0
最近やたらクレジットカードの不正利用多いと思ったわ


90 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:38:10.94 ID:+LtlbvoO0
どこの店か公表するか、漏れた可能性のある該当者にはちゃんと連絡したんか?
全部非公表、利用者が問い合わせてきた時のみ対応なんて馬鹿なことしないだろうな?


91 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:38:50.93 ID:pWfeoS6O0
カード会社はここに賠償請求していいのでは


93 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 12:40:45.35 ID:iS/GaFy20
どうせ謝罪で終わりなんだろうな
総務省がザルすぎて洩らされ損


95 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 12:42:23.32 ID:fSZs5tOj0
セキュリティコードを保管する業者は営業停止処分にしろよ。
そんなバカ業者にネット決済する資格なし!


112 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 13:03:42.74 ID:vqPCfnMZ0
セキュリティコードは保存されてたのが流出したとは書いてないね
決済処理中に送出されるのを抜かれたとかじゃね?
流石に保存してるアホ業者はおらんやろ


113 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 13:05:09.73 ID:OsnOJmOE0
クレカ怖いな
これからは最小金額だけ入れた口座とデビッドカード使ったほうが良いのか


114 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 13:06:59.16 ID:vqPCfnMZ0
>>113
つ現金


116 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 13:08:50.45 ID:OsnOJmOE0
>>114
小銭がジャラジャラになるから嫌だな


119 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 13:14:04.57 ID:JQgJZdwb0
>>114
ウクライナでもカード決済や電子マネーが使えなくなるかもと言って
ATMの前に行列が出来てたっていうし
やっぱ現金最強


118 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 13:13:44.92 ID:RVsz/m6j0
セキュリティコードはサーバに保存しないものだということはわかるけど、サブスクとか毎月カードで引き落とす場合ってセキュリティコードの扱いはどうなるの? 初回だけ認証してあとはセキュリティコードなしで決済とか?









124 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 13:53:15.40 ID:ttclRUT40
>>118
まずCVVのセキュリティコードはオーソリに必須じゃないんだ
カード番号と期限だけだと1回に1万円まで、セキュリティコードがあれば5万円まで、3Dセキュアを使うと10万円までと「枠が拡がる」ってイメージが良いと思う

カード会社もこのお店は何商ってのを細かく見てる
例えば電気代なら多くても月に数万円、商品の配達やサービスでも月に何千円でしょ
それが五十万円百万円になる事はないし、なったら明らかに不正かエラーだよね

だから最初だけ強度の高い認証を要求して、大まかな水準の二割とか三割の変動なら、セキュリティコードなしでも認証すると
やり方は色々だけどざっとこんな感じ

長くなってすまんね


139 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 14:56:43.28 ID:mIOhAJfF0
>>124
セキュリティコードはカードの実物存在確認するためのもので、枠をコントロールするツールじゃないぞ


142 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 15:07:02.85 ID:RVsz/m6j0
>>139
少額決済ならサイン不要とかあるでしょ。その類の話かと思ったけど


152 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 15:54:40.59 ID:mIOhAJfF0
>>142
それは違う
繰り返しになるけど、カードの現物が利用者の手元にあることを示すためのもの

セキュリティコードは本人確認ではないことには注意


121 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 13:22:39.34 ID:B+Udo0F60
https://www.itmedia.co.jp/news/articles/2202/28/news114.html
日本赤十字社でクレカ情報最大約5000件流出の可能性 メタップス不正アクセスに巻き込まれ
 この影響で、赤十字社の他にも滋賀県や映画予約サイト、医学会など、メタップスペイメントのサービスを利用するさまざまな企業団体が決済システムを停止するなど、影響が広がっている。

影響範囲広そうだな


129 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 14:20:30.30 ID:HPKzsRN00
1月最初にやられて2月に別のカードでやられた
自動引き落としの切り替え面倒くせえ


130 : ニューノーマルの名無しさん ▼ 2022/02/28(月) 14:25:27.84 ID:1Vo6N9t20
不正利用されようが何しようが怪しい取引にはクレジットカード会社から確認のメールや電話がかかってきたりするから心配いらなくね?


149 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 15:27:17.30 ID:/QGy3hMJ0
FANZAの購入履歴漏れない限り無問題


154 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 16:48:18.45 ID:g0hIXY4Y0
昔カードの不正利用をされた経験あるから余計に怖く感じるわ

おれは実害が無かったから良かったけど


172 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 21:47:50.71 ID:sYzltTOx0
クレカ情報流出の恐れで謝罪企業続々 AKB、公共施設、赤十字、チケットサイトなど メタップス不正アクセス問題
https://www.itmedia.co.jp/news/articles/2202/28/news159.html
不正アクセスにより流出した恐れがあるのは2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、
有効期限、セキュリティコードなど最大46万395件、21年5月6日から22年1月25日までに実行された決済情報593件、加盟店情報38件。


128 : ニューノーマルの名無しさん sage ▼ 2022/02/28(月) 14:11:10.24 ID:repTWT1D0
導入してた店リストが欲しい(´・ω・`)
使ったかどうかは自分で確認するから


〜〜〜〜〜〜〜〜引用ここまで





posted by nandemoarinsu at 22:13 | Comment(1) | 国内ニュース

この記事へのコメント
  1. Posted by at 2022年03月02日 06:30
    レーベルのディストリビューターみたいなもんか
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

人気記事