メタップスペイメントの情報流出についてまとめてみた - piyolog
2022/03/04 19:43
tukanana
やはりこんな大ネタpiyo氏が食いつかないわけがないよね…
2022/03/04 20:11
saikyo_tongaricorn
た い さ く
2022/03/04 20:26
new3
待ってた。まとめも大変だったけどこれからの追記も大変そう・・・お疲れさまです。
2022/03/04 20:45
kenzy_n
金融関連の人気
2022/03/04 20:47
retore
”サービス利用元からの案内や注意喚起"が多すぎる
2022/03/04 21:01
j_naito
自分が関連してそうなのは銀行各行とSCRAPもか。。そんな知らせ着てないような。。
2022/03/04 21:02
korilog
該当期間に利用してたら流出の可能性のあるメタップスペイメント利用サービスと、ユーザーに注意喚起してるだけのカード系のサービスは分けて見たいなぁ。
2022/03/04 21:21
hobbiel55
「これまでも年1回で訪問審査、アプリケーション脆弱性診断を実施。四半期毎にネットワーク脆弱性診断を実施」←いったいどこの会社がPCI DSSの監査をしてたんだろうね? そっちの名前も公表すべきだろ。
2022/03/04 21:48
Falky
対象会社まとめ、なんで一般ブロガーがまとめたのを俺らが見に行かんとわからんねん…。取引先情報だから開示できないってこと?わからんでもないが、顧客への案内まともにやらない会社が紛れ込んでたらどうすんだ…
2022/03/04 21:49
Crone
お疲れ様です。本当にありがたい。/PCIDSS準拠してるし脆弱性診断もしてるとなると、やるべきことはやってるように見える。でもそれにしては被害が大きい。内部犯なのかな。詳報が気になる。
2022/03/04 22:07
nmcli
ECサイトの情報流出と比べ、決済代行会社のインシデントはやはり影響範囲が超広いということを痛感。企業が導入できる決済代行会社は意外と選択肢が少ないという点においても本件は重要。
2022/03/04 22:47
tanuta-a
りんく方式は?アウトじゃない??
2022/03/04 23:11
kazkun
不正利用発覚は即日だろうからセキュリティコード保管期間は2ヶ月だったんじゃないかと推測できる。それを短期間と言ってしまって良いのだろうか。PCI DSS ICMS-PCI0079 なので認証機関はICMS。
2022/03/04 23:11
ikura_chan
これ、本来はメタップスがやるべきお仕事なのでは…
2022/03/04 23:22
tacamula
SQLインジェクション、内部システム侵入、バックドア設置か… | 各カード会社のお知らせはシステム利用してたのか会員への周知のどっちなんだろう | まとめ助かる
2022/03/04 23:31
vanish_l2
一番やられたらあかんとこがやられたという認識
2022/03/04 23:33
rzi
自分も抜かれました。流出懸念は12月15日に来てたのに、わからないからって放置して1月25日になってやっとサービス止めた。1ヶ月以上放置された。そのせいでorz
2022/03/04 23:41
cardmics
なんかメタップスって聞いたことない弱小会社がやらかしただけだろ…って思ってる人は多いかもしれないが、この手の情報流出は他の大手決済会社でも起こりうる内容なんだよね。現状はいたちごっこ。
2022/03/05 00:04
yahsusu
短期なら保管保存じゃないってどういうことなん。どうせトークンの中にセキュリティコード含めてトークンの有効期限切れで削除してただけでしょ。
2022/03/05 00:05
sorshi
“株式会社メタップスペイメントにおける情報流出に関する発表について”
2022/03/05 00:26
degucho
改めて豪快さにビビるとともに停止の遅さが目に付くな
2022/03/05 00:29
tekitou-manga
該当期間に決裁なきゃ大丈夫なの?Appleでしたかどうかなレベルだけど(見過ごしてなければ)。ちゃんと明細みとかないとなぁ
2022/03/05 00:29
skur2
サービス利用元のアップルはドキッとしたけどAppleじゃなかった
2022/03/05 00:35
QueSTioN
たすかる可能性高くてたすかる。
2022/03/05 00:59
htnmiki
一度対策完了したあとにバックドアの存在を確認とかきついな……
2022/03/05 01:04
kuracom
セキュリティコードを一時保存する仕様、通信不調でリトライする時用とか? > “セキュリティコードが対象項目に含まれた理由は承認処理が行われる際データベースで短期間保持される実装”
2022/03/05 04:01
kuzumaji
おぉめちゃくちゃお疲れ様です… メタップスペイメントのページ見ても加盟店舗一覧などが見れるわけで無いので自分が該当サービス使用したか確認出来ないの困ってたのでありがたい…
2022/03/05 07:22
areyoukicking
うーん。なんで警告来てから止めるのにこんな時間かかったのかな。。
2022/03/05 07:37
Tezcatlipocasan
やられ放題よくばりセット
2022/03/05 07:54
tomemo508
ありがとうございます。私がたまたま使った某不動産会社の初期費用の支払いがカード決済のみでそこがメタップスペイメントの某サービスを利用していた、ということが理解できました。
2022/03/05 08:21
t_motooka
まとめ、ありがたい。
2022/03/05 08:21
akishin999
“不正アクセスはメタップスペイメントの決済データセンターサーバー内の一部アプリケーションに存在したSQLイン”
2022/03/05 09:58
d6rkaiz
サービス利用元一覧がえぐい。アップルがAppleじゃなくてよかった。
2022/03/05 10:27
ciel18m
わかりやすくて助かります。セキュリティコードえぐ。
2022/03/05 12:25
otation
近所のコワーキングスペースからメールは来たけど、公式サイト上には漏洩したって書いてない。当然この一覧にも載ってないから、ここにないからと言って安心はしない方が良い
2022/03/05 13:16
masudatarou
防御力ゼロ
2022/03/05 13:39
kamm
相変わらず力作だ
2022/03/05 13:46
stealthinu
メタップスの調査報告ページで一番上が社内管理システムの脆弱性が挙げられてるからそこから入られたんだろうな。PCに侵入後社内システムの脆弱性突いて入ったとかなんだろうか。
2022/03/05 18:03
kunioya
すごい労作。感謝しかない
2022/03/05 18:35
bluescreen
アップルがあったから焦ったけど、Appleではなくアパマンショップの会社か!
2022/03/05 21:35
dltlt
「これまでも年1回で訪問審査、アプリケーション脆弱性診断を実施。四半期毎にネットワーク脆弱性診断を実施。」
2022/03/06 23:53
adsty
複合的な攻撃を半年間も受けていた。
2022/03/07 10:14
castle
「メタップスペイメントは決済情報などが格納されたデータベースへ不正アクセスが行われクレジットカードを含む情報流出が判明したと公表~関連する情報をまとめ」「バックドアの存在が確認」「便乗詐欺の注意喚起」
2022/03/07 18:50
gfx
決済サービス史に残る大事件になったなあ。