脆弱性情報を隠匿、被害後の原因調査もなし…… クレカ情報漏えいのメタップス子会社に行政指導
(前略)
メタップスペイメントは2021年10月から22年1月にかけて、カード情報管理システムへの不正ログインやSQLインジェクション攻撃、バックドアの設置などのサイバー攻撃を受けた。これにより、暗号化されたクレジットカード番号と有効期限、セキュリティコード、復号鍵を盗まれた。
流出したとみられる情報は当初約46万件としていたが、漏えい元のデータベースには合計約288万件のカード情報が保存されていたことが分かった。
同社の決済システムは「会費ペイ」「イベントペイ」などの一部システムを除いてクレジットカード決済事業者向けの情報セキュリティ基準「PCI DSS」に準拠しているとされていた。しかし、実際には社内の情報共有が不十分で監査機関にシステム更新などの事実が伝わっていなかった部分があったという。
メタップスペイメントは18年6月に、加盟店向けアプリを委託先事業者のシステムから自社システム内に移設した。移設に関する稟議書は代表取締役も確認していたが、関係部署や職員には適切に情報共有されず、監査機関に移設の事実が伝わらなかったため、監査対象から外れる監査漏れが発生した。
同社では監査機関に提出するため決済システムの脆弱性検査も行っていた。その際「Midium」「High」レベルの脆弱性も複数検出されたが、報告書を改ざんし、これを報告しなかったという。
情報セキュリティ担当役員はこの事実を認識していたとみられるが、他の経営陣には報告していなかった。内部監査機能も働いておらず、他の経営陣は情報漏えい事件発生後の調査でこの事実を知ったとしている。
また、決済システム運用にかかる業務の遂行記録もなく、運用中に発生した警告も適切に確認しておらず、21年10月にSQLインジェクション攻撃を受けた際には事後調査も行っていなかったという。
https://www.itmedia.co.jp/news/spv/2207/01/news141.html