経済産業省は6月30日、不正アクセスやSQLインジェクション、バックドア設置などの攻撃を受けクレジットカード情報を流出させたとして、クレジットカード決済システムを提供するメタップスペイメント(東京都港区)に行政指導したと発表した。同社は情報セキュリティの監査において、脆弱性情報やシステム変更の事実を適切に共有していなかったことが分かった。

関連記事:メタップス、不正アクセスやられ放題 最大46万件のカード番号やセキュリティコード流出か バックドアやSQLインジェクションの痕跡見つかる

 経済産業省は、カード情報の適切な管理に必要な措置として、速やかな再発防止策の実施、情報漏えい対策の実施状況の確認、内部監査機能の強化と作業の属人化の解消、抜本的な運営体制の再構築、経営責任の明確化などを求めた。

 メタップスペイメントは2021年10月から22年1月にかけて、カード情報管理システムへの不正ログインやSQLインジェクション攻撃、バックドアの設置などのサイバー攻撃を受けた。これにより、暗号化されたクレジットカード番号と有効期限、セキュリティコード、復号鍵を盗まれた。

 流出したとみられる情報は当初約46万件としていたが、漏えい元のデータベースには合計約288万件のカード情報が保存されていたことが分かった。

●PCI DSS監査機関への情報共有に複数の不備

 同社の決済システムは「会費ペイ」「イベントペイ」などの一部システムを除いてクレジットカード決済事業者向けの情報セキュリティ基準「PCI DSS」に準拠しているとされていた。しかし、実際には社内の情報共有が不十分で監査機関にシステム更新などの事実が伝わっていなかった部分があったという。

 メタップスペイメントは18年6月に、加盟店向けアプリを委託先事業者のシステムから自社システム内に移設した。移設に関する稟議書は代表取締役も確認していたが、関係部署や職員には適切に情報共有されず、監査機関に移設の事実が伝わらなかったため、監査対象から外れる監査漏れが発生した。

 同社では監査機関に提出するため決済システムの脆弱性検査も行っていた。その際「Midium」「High」レベルの脆弱性も複数検出されたが、報告書を改ざんし、これを報告しなかったという。

 情報セキュリティ担当役員はこの事実を認識していたとみられるが、他の経営陣には報告していなかった。内部監査機能も働いておらず、他の経営陣は情報漏えい事件発生後の調査でこの事実を知ったとしている。

 また、決済システム運用にかかる業務の遂行記録もなく、運用中に発生した警告も適切に確認しておらず、21年10月にSQLインジェクション攻撃を受けた際には事後調査も行っていなかったという。

 経済産業省は、カード情報取扱業者としての健全な組織風土を醸成するよう同社に求めている。