メタップスペイメント、不正アクセスによるカード情報流出

プロジェクトオーガナイザの吉田聖書よしだみふみです。

2月28日に、決済サービスを展開するメタップスペイメントが不正アクセスについてのニュースリリースを公開しました。

不正アクセスによる情報流出に関するご報告とお詫び(2022/2/28 株式会社メタップスペイメント)

これは結構影響が大きいセキュリティ事故で、様々な加盟店がお詫びするなどの対応に追われています。お詫びを掲載している加盟店の中には、公表されている期間(2021年5月6日~2022年1月25日)に私が利用したものが含まれていて心配したのですが、今のところ購入したものは該当していないということが分かってホッとしています。

このニュースリリースに基づくと、3つのデータベースから情報が流出したということで、そのうちの2つにはクレジットカードの情報が保存されていました。2つのうちの片方はカード番号と有効期限のみ、もう片方はカード番号と有効期限に加えてセキュリティコードが保存されていたということです。

メタップスペイメントは「PCI DSS」というクレジットカード業界のセキュリティ基準に準拠していると、同社のコーポレートサイトには記載されていますが、PCI DSS(現時点でのバージョンは3.2.1)ではセキュリティコードは保存してはいけないことになっています。(PCI DSS 要件とセキュリティ評価手順 日本語版・8ページ)
尚、PCI DSSのドキュメントはPCI SSC(Payment Card Industry Security Standards Council) のサイトから無料で入手できます。

同社のシステムの細かい仕様は分かりませんが、保存してはいけないセキュリティコードが結果的に保存されていたのは確かなようです。PCI DSSの要件を読む限りは例外もあって、一定の条件を満たせば保存も可能と書かれています。同社のデータベースがその条件を満たしていたかどうかまでは読み取れませんでしたが、削除しなければいけないのは認証プロセスが完了後であり、プロセス完了前のデータが何らかの形で残っていた可能性は考えられます。

いずれにせよ、PCI DSSに準拠しているとはいえ、限界はあるのだなと感じます。クレジットカード業界に限らず、事業所や情報システムを対象としてセキュリティ審査を受けるということは普通にありますが、セキュリティ審査に限界があるのだと考えます。セキュリティ審査は実装上の不備を見つけるのは得意ですが、設計上の不備を見つけるのはあまり得意ではありません。設計が正確にドキュメントに落とし込まれることは普通は考えにく、設計上意図していない形で実装されてしまうこともあるからです。


※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。


そもそも、セキュリティコードに頼るのが良くないという意見もあります。また、セキュリティコードの入力が不要なショッピングサイトも存在します。その場合はセキュリティコードが保存される心配はないですが、カード番号と有効期限が流出しただけで、そのサイトで購入できてしまうということですから、それはそれで心配になります。

私が何年も前にECサイトの構築に携わった時には、3Dセキュアという認証の仕組みを導入していました。当時、まだ3Dセキュアはそれほどメジャーではなく、それを実装したのは割と早かった方だと思います。それから随分時間が経ちましたが、まだメジャーになっている印象はありません。3Dセキュアもバージョンが2.0となって使い勝手が向上したようですので、もっと3Dセキュアが普及して、安全にカード決済が利用できる環境になって欲しいと願います。



関連記事

プロマネの右腕

クロスイデアでは、新サービス・新ビジネスの 立上げや計画を中心に
プロジェクトマネジメントの支援を行っています。

新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html

YouTubeにて動画配信中!

プロジェクトマネジメントのノウハウを
YouTubeで配信しています。
ブログと併せてご活用ください。

Comments are closed.