Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

経産省、メタップスPに行政処分 - 診断で脆弱性見つかるも報告書改ざん

クレジットカード決済サービスを提供するメタップスペイメントが不正アクセスを受け、情報流出が発生した問題で、経済産業省は同社に対し、割賦販売法に基づく改善命令を出した。

同社では、利用者のウェブサイトへ「JavaScript」を埋め込み、カートシステムなどと連携するトークン方式のクレジットカード決済サービスをはじめ、複数の決済サービスを提供しているが、これらで利用する決済情報を含んだ複数のデータベースが不正アクセスを受け、情報流出が発生したもの。

同省では報告徴収命令を出し、同社より報告を受けたところ、脆弱性に起因する情報流出にくわえて、システムにおけるセキュリティ対策の不備や、内部統制における問題などが判明。クレジットカードの国際的なセキュリティ基準「PCIDSS」に準拠しておらず、割賦販売法における違反が見られたとして行政処分を行った。

具体的に明らかとなった問題としては、委託先事業者よりコンビニ決済の加盟店向けサービスのシステムを同社内に移設したが、内部のシステム関係部署で情報共有しておらず、PCIDSS監査機関に伝えなかったことから監査対象となっていなかった。

さらに脆弱性診断によって複数の脆弱性を検出していたものの、PCIDSSの監査において内容を改ざんした報告書を示していたことが判明した。

(Security NEXT - 2022/07/01 ) このエントリーをはてなブックマークに追加

PR

関連記事

印字プログラム不具合で書類に別会員の口座情報 - 歯科コンサル会社
メール誤送信で災害ボランティアのメアド流出 - 大阪市
サポート終了も1割強が業務でIE利用 - 35%はEdgeのIEモード
カスペルスキーのVPN製品に権限昇格の脆弱性
「Apache CloudStack」のSAML認証プラグインに深刻な脆弱性
J-CSIPへの情報提供が約2.6倍に - 過去の受信メールにも注意を
AIによる顔画像取扱時の留意点を解説 - 日本ディープラーニング協会
WDB HDがランサム被害 - メールやファイルサーバで障害
フィッシングURL、1カ月で約4.9万件 - 報告は10万件を突破
2021年に観測が多かったマルウェア、大半が5年以上活動 - ランサム感染にも関与