メタップスP、クレカ情報など最大約46万件が流出か - 不正ログインやSQLi攻撃で

トークン方式のクレジットカード決済サービスは、ウェブサイトへ「JavaScript」を埋め込み、カートシステムなどと連携してトークン方式の決済を行うしくみ。最初にデータベースへアクセスされた2021年10月14日以降、2022年1月25日にかけて不正アクセスを受けた。

データベース内部の決済情報は一定時間ごとに削除されるため、同サービスで取り扱ったすべてのクレジットカード情報を抜き出されたわけではないが、外部より断続的にアクセスが行われており、その際に保存されていた決済情報を窃取された可能性がある。

実際に窃取された情報の特定には至っていないが、アクセスの状況から同社では対象となる最大件数を46万395件と結論づけた。加盟店コードや決済金額、クレジットカードの番号、有効期限、セキュリティコードなどが含まれる。

同社は、同サービスの具体的な導入社数について非公表としているが、「数千サイトが利用している」と説明している。

さらにトークン方式サービスにくわえて、同社が提供する他決済サービスなどを2021年5月6日以降に利用した顧客の決済関連情報約440万件を保有するデータベースに対しても不正アクセスが行われた。

（Security NEXT - 2022/03/01 ） ツイート

PR

関連記事

ECサイトで個人情報が表示、設定不備で - FABRIC TOKYO
ECサイト管理画面に不正アクセス、一部顧客情報が流出 - NSバイオジャパン
クラウドに不正アクセス、個人情報流出の可能性 - マイナビ
引越し見積もりシステムで個人情報流出の可能性 - アットホーム
包装資材通販サイトの侵害、決済アプリ改ざんで個人情報流出の可能性
カーテン通販サイトで決済アプリ改ざん - 個人情報流出の可能性
笹だんご通販サイトの不正アクセス - 影響範囲が判明
都立大教員がフィッシング被害 - 海外研究者アカウントからのメールで
不正アクセスで医療従事者情報などが流出か - 富士フイルムメディカル
職員用グループウェアがランサム被害、生徒情報流出か - 向上学園