メタップスP、クレカ情報など最大約46万件が流出か - 不正ログインやSQLi攻撃で

トークン方式のクレジットカード決済サービスは、ウェブサイトへ「JavaScript」を埋め込み、カートシステムなどと連携してトークン方式の決済を行うしくみ。最初にデータベースへアクセスされた2021年10月14日以降、2022年1月25日にかけて不正アクセスを受けた。

データベース内部の決済情報は一定時間ごとに削除されるため、同サービスで取り扱ったすべてのクレジットカード情報を抜き出されたわけではないが、外部より断続的にアクセスが行われており、その際に保存されていた決済情報を窃取された可能性がある。

実際に窃取された情報の特定には至っていないが、アクセスの状況から同社では対象となる最大件数を46万395件と結論づけた。加盟店コードや決済金額、クレジットカードの番号、有効期限、セキュリティコードなどが含まれる。

同社は、同サービスの具体的な導入社数について非公表としているが、「数千サイトが利用している」と説明している。

さらにトークン方式サービスにくわえて、同社が提供する他決済サービスなどを2021年5月6日以降に利用した顧客の決済関連情報約440万件を保有するデータベースに対しても不正アクセスが行われた。

（Security NEXT - 2022/03/01 ） ツイート

PR

関連記事

郡上八幡の特産品扱う通販サイトが不正アクセス被害
すかいらーく「テクアウトサイト」 - クレカ情報流出の可能性
機器から奪われた管理者アカウントで侵害受ける - ミネベアミツミ
ゼロデイ攻撃で個人情報流出の可能性 - 日鉄ソリューションズ
「愛知全県模試」受験者情報が流出した可能性 - SQLi攻撃で
MDMサーバから従業員情報流出、削除データも - ジブラルタ生保
指標管理ウェブシステムから顧客情報流出の可能性 - 損保ジャパン
財布通販サイトに不正アクセス - 個人情報流出の可能性
健康商材のB2Bマッチングサイトに不正アクセス - 顧客情報が流出
サーバに不正アクセス、取引先や株主情報など流出 - 研創