クレジットカードの決済基盤を提供する「株式会社メタップスペイメント」は、2022年2月28日に不正アクセスによって保有するクレジットカード情報の漏洩が確認されたことを発表しました。
SNSでは「メタップスペイメント」から漏洩したクレジットカード情報が利用され、「身に覚えのない請求が来ている」という声も出ています。
不正アクセスされてしまった「メタップスペイメント」はユーザーへの直接的な影響だけでなく、利用者が減るなど企業経営自体にも大きな影響が出るでしょう。
この件について今回は、
- 今回の事件の概要
- なぜ情報漏洩が発生したのか
- 不正アクセスの対策方法
について解説していきます。
「メタップスペイメント」の事件についてや、今回の情報漏えいは事前に防ぐことができたのか・企業ができる対策は何かを解説していきます。
なお、不正アクセスとはについての詳細はこちらの記事をぜひご覧ください。
目次
「メタップスペイメント」へ不正アクセス!46万件のクレジットカード情報流出
株式会社メタップスペイメントは、主にECサイトやリアル店舗向けの決済サービスを提供している企業で、非常に多くの個人・クレジットカード情報を持っています。
この株式会社メタップスペイメントが、2月28日に提供するクレジットカードの決済基盤にて、最大460,395件のクレジットカード情報が流出している可能性があることを発表しました。
※引用:株式会社メタップスペイメント
今回の事件の発表によると、2021年8月2日から2022年1月25日の期間に決済で使われたユーザーの個人情報を含む情報が流出されてしまっています。
本事件による、漏洩した情報の内訳は以下になります。
- クレジットカード番号
- 有効期限
- セキュリティコード
また、上記の情報漏洩とは別に、決済情報等を格納しているデータベースと加盟店情報のデータベースにも不正アクセスが確認されたことを発表しています。
決済情報等を格納しているデータベースは、2021年5月6日から2022年1月25日までに使われた593件の決済で、以下の情報が流出されてしまっています。
- クレジットカード番号
- 有効期限
- 氏名
- 電話番号
- メールアドレス
- 郵便番号
- 住所
加盟店情報のデータベースは、38件で以下の情報が流出されてしまっています。
- 加盟店名
- 加盟店コード
同発表では流出した情報の詳細や今後の対策について、以下の内容で発表しています。
※引用:株式会社メタップスペイメント
オンラインでのクレジットカード決済や、電子マネー決済、コンビニ決済、と多様な決済を取り揃えている「メタップスペイメント」。
SNSでは「メタップスペイメント」のクレジットカード情報の流出に伴って、ほか企業も謝罪を公表しています。
ネット上では多くの利用者の「被害にあった」という声があがっています。
うちも漏洩したよ、カード会社の方で検知してくれたけど不正利用された。メタップスまじ最低。複数のルートで漏出したって、それに気づかないってクレカ扱っていいレベルじゃないぞ。メタップス採用したのが県なのかアプリ会社なのか知らんが
— SSSS.からあげ (@rzl5) February 28, 2022
やべえ。
メタップスのクレジットカード情報流出の件、ばっちり不正請求されてたわ…
メタップスの相談窓口はコール音のみで全く繋がらねえ。
クレジットカード会社側に連絡してみるか…
— のいず (@redwell_noise) March 1, 2022
中でも「お問い合わせ相談窓口に繋がらない」という意見は多くみられ「メタップスペイメント」は完全に混乱状態にあると思われます。
このように不正アクセスによって個人情報、特に一般のユーザーに影響が出てしまうと企業内にも、企業の信頼低下にも影響してしまいます。
なので、こういった事態になる前に企業側は事前に不正対策をしておきましょう。
【補足】”二次被害”のクレジットカードの不正利用を防ぐには?
今回のように、流出したクレジットカード情報からは不正者が偽アカウントを作成し他ECサイトやその他決済などで不正に利用されることがあり、カード所有者が不正利用被害を受ける可能性が高いです。
メタップスの事例でいうと、クレジットカードの不正利用は”二次被害”とも言えます。
このような二次被害としてのクレジットカードの不正利用をさせないために、企業側ができる対策として下記の利用をおすすめします。
- 本人認証(3Dセキュア)の利用
- 券面認証(セキュリティコード)の利用
- 属性・行動分析(不正検知システム)の利用
- 配送先情報の蓄積と利用
- 不正検知システムの利用
クレジットカードの不正利用は「チャージバック」とも呼ばれる不正の手口です。
クレジットカード不正(チャージバック)に関して詳しく知りたい方は以下の記事を参考にしてください。
また、不正検知システムであれば当サイトを運営する「かっこ」が提供する「不正チェッカー」は業界最安値で業界TOPクラスの不正検知率です。
以下から資料のDLやお問い合わせが可能なのでお気軽にご相談ください。
\転売・チャージバック対策を業界最安値で/
不正チェッカーの資料DLはこちら
「メタップスペイメント」の情報流出の原因は?
今回の「メタップスペイメント」のクレジットカード情報流出の原因は、以下のように発表されています。
- 社内管理システムへの不正ログイン(アクセス)
- 一部アプリケーションへのSQLインジェクション
- 不正ファイルの設置
※引用:株式会社メタップスペイメント
今回のような情報の流出は、「メタップスペイメント」の発表にあるように不正者によるシステム脆弱性を狙った不正アクセスであることが多々あります。
常に企業のクレジットカード情報や個人情報を狙っている不正者は、システムの脆弱性を狙うことが多く不正アクセスの手口としても多くなってきています。
不正者は狙った企業のシステムの構造や内容を精査し、脆弱性を狙って不正アクセスを実行し、個人情報を盗取したりシステム改ざんを行います。
システムの脆弱性を狙った不正アクセスを防ぐには?
今回のようなシステムの脆弱性を狙った不正アクセスの被害を防ぐには、IPS/IDS、WAFといったセキュリティシステムを用いることが効果的です。
つまり、これらのセキュリティシステムを用いることで、システムの脆弱性を狙った不正アクセスの被害は防げる可能性があります。
IPS/IDS・WAFについては、以下の漫画で分かりやすく解説しているので是非ご覧ください。
- IPS/IDSについて知ってみる
『第2話 IPS/IDS編〜特集:漫画でわかるセキュリティ入門〜』
https://frauddetection.cacco.co.jp/media/sp_security/sp_security-02/
- WAFについて知ってみる
『WAF編〜特集:漫画でわかるセキュリティ入門〜』
https://frauddetection.cacco.co.jp/media/sp_security/sp_security-03/
不正アクセスは未然に防ぐことができる
不正アクセスは、被害が起こってからでは遅く、利用者だけでなく自社にも多くの影響を及ぼします。
今回の「メタップスペイメント」のように情報漏えいが起こると、サービスの評判を落としたり利用者を減らしてしまう可能性があります。
自社のシステムが不正者に狙われていないか・不正アクセスを未然に防ぎたい、などとお考えであれば、当サイトを運営するかっこ株式会社が開発・提供をしている「O-MOTION」までご相談ください。
自社の不正アクセス状況が分かるトライアル利用受付中!
O-MOTIONの資料DLはこちら
