- > 企業情報
2022年07月01日
各位
株式会社メタップスペイメント
代表取締役社長 和田洋一
不正アクセスによる情報流出に関する対応状況について
2022年2月28日付「不正アクセスによる情報流出に関するご報告とお詫び」にて開示のとおり、2021年10月から2022年1月にわたって当社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を突いたサイバー攻撃によって複合的な不正アクセスが行われ、最終的に決済情報等が格納されているデータベースから個人情報を含む情報が外部に流出し、クレジットカードの不正利用(以下、「本件」という)に至りました。
本件の発生以来、当社はクレジットカード決済における基盤であるネット決済システムに対して、技術的安全性の確保を最優先に掲げ、原因究明のために調査会社2社からフォレンジック調査を受け(※1)、決済システム監視体制の強化(WAFの導入・24時間365日監視対応、アラート検知体制の整備、IPSによる不正アクセスの遮断)、サーバの分離によるアクセス制御及び各種(アプリケーション・ネットワーク)脆弱性診断等の対策を順次実施すると共に、PCIDSSの認定セキュリティ評価者(QSA)より、ネット決済システム及び一部のフロントシステムについて、PCIDSS Ver 3.2.1への準拠の認定を受けました(※2)。なお、現時点で準拠の確認ができていないフロントシステムについては、準拠に向けて審査中の状況です。
並行して、当社は、2022年2月25日、役員に外部の専門家アドバイザーを加えたメンバーで構成される再発防止委員会を設置し、再発防止策の検討及び実施を継続してまいりました。また、更なる事実関係の解明及び原因究明を目的として、2022年4月7日付けで、当社及び再発防止委員会とは独立した組織である第三者委員会を設置し(※3)、別添1のとおり、第三者委員会による報告書を受領しております。
なお、別途公表させていただきましたように、当社は2022年6月30日付けで、経済産業省より割賦販売法第35条の17の規定に基づく改善命令を受けました。今後は、改善命令に係る指摘事項及び第三者委員会による提言を踏まえた再発防止策を速やかに策定すると共に、これらを確実に遂行して参る所存でございます。
以上
| フォレンジック調査会社 | 報告書受領日 | 補足 |
|---|---|---|
| P.C.F.FRONTEO株式会社 | 2022年2月8日 | 当社指定のフォレンジック機関 |
| ベライゾンジャパン合同会社 | 2022年5月27日 | クレジットカード国際ブランドが指定した認定フォレンジック機関 |
| 審査機関 | PCI DSS再準拠日 | 補足 |
|---|---|---|
| 株式会社ブロードバンドセキュリティ | 2022年5月20日 | (※1)記載のP.C.F.FRONTEO株式会社によるフォレンジック調査結果を踏まえた当社指定の認定審査機関によるPCI DSS準拠の審査 |
| 株式会社ブロードバンドセキュリティ | 2022年6月11日 | (※1)記載のベライゾンジャパン合同会社によるフォレンジック調査結果を踏まえたPCI DSS準拠の再審査 |
| 審査機関 | 補足 |
|---|---|
| 株式会社ブロードバンドセキュリティ | 2022年5月25日準拠 会費ペイ 2022年7月準拠予定 Paysys、チケットペイ、イベントペイ ※その他システムについては、対応内容精査中 |
| 委員 | 右崎 大輔 片岡総合法律事務所 弁護士 大河内 貴之 Secure・Pro株式会社 代表取締役 |
| 調査期間 | 2022年4月7日から同年5月31日まで |
| 目的 | 本件の事実関係の解明 事実関係を基にした原因追求 事実関係及び原因に照らした再発防止策の提言 |
