大規模なクレカ情報流出事故のメタップスペイメント、行政指導処分に
2022年7月5日 15:22
あるAnonymous Coward 曰く、 不正アクセスでカード情報46万人の流出が発生したメタップスペイメントが6月30日、経済産業省より行政処分(改善命令)を受けた。PCIDSSで求められているサーバーを対象としたネットワーク脆弱性スキャンをスキャンツールを用いて委託先で実施し「High」レベルの脆弱性が複数検出されていたにもかかわらず脆弱性なしと改竄して報告し、適切な対応しなかった結果不正アクセスの影響で流出に至ったとのこと(経済産業省、ITmedia)。 また、「会費ペイ」に係るシステムについては令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについてはPCIDSSに準拠していないとのこと。 クレジットカードに関わった者としては身につまされる思いではあるが、あまりにも杜撰すぎて呆れて物も言えない。 この業界に今現在関わっているスラド諸氏も気をつけていただきたい。
行政指導ではクレジットカードのデータセキュリティに関する国際的な基準「PCIDSS」を適切に維持・継続的に運用することを求めたほか、第三者機関の検証を踏まえた再発防止策の策定や実施を求めている。これを受けてメタップスペイメントは7月1日、公式Webサイトで謝罪文を公表した。「行政処分を真摯かつ厳粛に受け止め、改善命令に係る改善措置を速やかに講じて参る所存です」とするコメントを出している(メタップスペイメント、ITmedia)。