サービスに関するお問い合わせ
緊急対応 専用窓口
セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。
こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
株式会社メタップスペイメントは2月28日、1月25日に公表した不正アクセスによる情報流出について調査結果を発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】約半年にわたる複合的な不正アクセスにより、個人情報やクレジットカード情報などが流出してしまったということです。実際に行われたサイバー攻撃の内容や、PCI DSSの基準を満たしていたにも関わらず、情報漏えいに至った背景について説明します。
今回のインシデントは、同社決済データセンターサーバ内に配置された一部のアプリケーションの脆弱性を利用した不正アクセスにより、個人情報を含む情報の外部流出が判明したということです。原因として、社内管理システムへの不正ログイン、 一部アプリケーションへのSQLインジェクション、バックドアの設置が複合的に行われたことが挙げられています。
対策として、ログイン認証方式の強化と、SQLインジェクション対策として接続元の限定と脆弱性の修正を実施、バックドアの削除を完了しています。また、警察に被害申告を行っており、その他、経済産業省、関東財務局、個人情報保護委員会、JIPDECと情報連携を行っています。再発防止策として、専門のアドバイザーも含めた再発防止委員会を設置するということです。
今回のインシデントでは「社内管理システムへの不正ログイン」「SQLインジェクション」「バックドアの設置」が行われました。脆弱性の詳細については発表されていないので、あくまでも一般論として説明します。
これら脆弱性がつかれた結果、決済情報等が格納されている3つのデータベースに対し不正アクセスが発生したということです。
PCI DSSはクレジットカード情報を取り扱う事業者のセキュリティ基準として満たすべき要件は定められていますが、実施されたセキュリティ対策の内容が適切であるかは確認していないため、認定を受けた事業者でインシデントが発生する場合もあります。セキュリティ対策の品質を担保するためには、属人性の排除が必要です。
今回は、セキュリティ基準を満たしていてもインシデントが発生してしまう背景についてお届けしました。PCI DSSやISMSなど様々なセキュリティ基準を満たすことはあくまでも手段であり、本来の目的であるセキュリティ対策が形骸化してしまわないように心がけましょう。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
サービスに関するお問い合わせ