タグ: サイバーセキュリティ

メタップスは2/28、「(開示事項の経過)当社子会社における不正アクセスに関するお知らせ」を公表しました。顧客のクレジットカード情報が流出した可能性があることが判明し、調査を進めてきた件の調査結果です。

おさらい

メタップスは1/25、子会社である株式会社メタップスペイメントが運営するクレジットカード決済機能において、第三者からの不正アクセスが確認され、顧客のクレジットカード情報が流出した可能性があると公表しました。あれから約1ヶ月が経過し、今回、調査結果を公表です。

調査結果の概要

同社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を利用され、不正アクセスが行われました。2021年8月2日から、2022年1月25日にわたって攻撃を受け、決済情報等が格納されているデータベースにまでアクセスされ、個人情報を含む情報が外部に流出したということです。

決済情報等が格納されている3つのデータベースに対し不正アクセスがあり、それぞれから情報が流出。トークン方式クレジットカード決済情報では、クレジットカード番号数：460,395 件（カード番号、有効期限、セキュリティコード）が流出の可能性あり。

決済情報データベースからは、クレジットカード決済 434件や、コンビニ決済 109件、ペイジー決済 17件、電子マネー決済 33件が、判明した情報流出件数だそうです。コンビニ決済やらペイジー決済、、、kuniも対象期間中に使用してるぞ。妙なことに巻き込まれなければ良いのですが。

上記の情報流出が懸念される顧客については、同社決済サービスを提供している加盟店を通じて電子メール等により順次連絡していくとのこと。やれやれ、皆さんも心当たりあったりします？

メタップスは1/25、「当社子会社における不正アクセスに関するお知らせ」を公表しました。子会社である株式会社メタップスペイメントが運営するクレジットカード決済機能において、第三者からの不正アクセスが確認され、顧客のクレジットカード情報が流出した可能性があるといいます。

株式会社メタップス

メタップスは決済代行サービスなどを手掛ける「ファイナンス関連事業」と、スマートフォンアプリの集客支援サービスなどを提供する「マーケティング関連事業」を展開する、東証マザーズ上場企業です。

通販サイトなどとクレジットカードなどの決済事業者とをつなぎ、通販サイトなどに対しクレジットカード決済やコンビニ決済などが可能となるサービスを提供しています。

事件の概要

子会社のメタップスペイメントが運営するクレジットカード決済システム「トークン方式」へのデータベースに不正アクセスが確認され、情報が流出した可能性のある事が判明しました。

決済センター内にある一部アプリケーションに潜在していた脆弱性を侵入経路とし
て、クレジット決済サービスのデータベースに格納されている一部情報にアクセスされ、情報が流出した可能性があるとのこと。

不正アクセスされた可能性のある情報については現在、調査中としており、クレジット決済サービスの一部を、安全が確認されるまで停止しているようです。取引停止の影響の範囲は公開されていませんが、利用加盟店は数千社程度あるらしいです。

一般的なECサイトで不正アクセスによる情報漏えいが起きた際、クレジットカード情報については自社で管理していないため問題なし。というのがよくあるパターンですよね。今回はそのクレジットカード情報を管理している側がやられてしまった、、、ということでしょうか。

パナソニックは1/7、「当社ファイルサーバへの不正アクセス発生について（第2報）」を公表しました。第1報は昨年11/26に公表されていたんですが、11/11に不正アクセスを受けた事実のみという内容で、被害状況等の情報はまったくありませんでした。

パナソニック

今さらではありますがパナソニックは、映像・音響機器、白物家電、住設機器、住宅事業など幅広い事業を手掛けている日本を代表する総合家電メーカー。半導体などの電子部品、FA関連など企業向けのビジネスも展開しています。松下電器産業という名称から、2008年、社名をパナソニックに変更しました。

被害の状況

第三者が、同社海外子会社のサーバを経由し、日本のファイルサーバに不正アクセスを行った事実を確認。当該ファイルサーバ以外の業務システムへの不正アクセスは確認されなかったということです。

確証を得る事実は見つかっていないとしながらも、同社として不正アクセスを受けたファイルが流出した可能性があるとして、次のようなコメントを出しています。

一般消費者のお客様関連の情報については、情報流出の可能性はないとしています。一方で、採用応募者関連、インターンシップ関連の情報については、同社内の一部の事業部門が管理していた情報が含まれている可能性があるとしています。

さらに、お取引先の役職員の個人情報に関するファイルが含まれていることが確認されているといいます。流出した可能性のあるファイルサーバに、以上の情報が格納されていたものの、流出したかどうかは分からない、、、という何ともはっきりしない開示です。

防衛省は12/24、「三菱電機株式会社に対する不正アクセスによる安全保障上の影響に関する調査結果について」を公表しました。防衛省による安全保障への影響の調査が完了したということです。

おさらい

この不正アクセスは2019年6月に三菱電機が検知し、2020年1月に公表したものでした。同社の中国拠点のサーバーが攻撃を受け、日本国内のネットワークに侵入されたという事件でしたね。

安全保障上の影響

いやぁ、長いことかかりましたね。2020年1月から始まったとして、同省による調査、ほぼ2年間かかったことになります。不正アクセスにより外部に流出した可能性のある防衛省関連のデータファイルは約2万件といいます。まぁ、そりゃ大変ですわな。

防衛省内の関係部局で内容確認を行ったところ、安全保障への影響を及ぼすおそれのあるデータファイルが59件あったことが確認されたということです。この59件について、「それぞれについて適切な措置を講じたところです。」、だそうです。適切な措置ってどういうことを指してるんでしょうね。

「今般の事案を踏まえ、防衛省は、三菱電機に対して適切な情報の管理について厳格に行うよう注意するとともに、同社における情報の適切な取扱いを徹底するよう指示しました。」とも書かれています。

当たり前ですが、この三菱電機のファイル59件の具体的な内容は公表されていません。日経の報道によると、同社はレーダーや通信衛星、誘導弾などの研究開発や製造に携わっているとされており、これら技術の周辺の情報なんでしょうか。