株式会社メタップスペイメントは、2022年1月25日に発表した不正アクセスの被害の件について、調査が完了したことを2022年2月28日に発表しました。
2021年8月2日~2022年1月25日の間に決済データセンターサーバー内のアプリケーションの脆弱性を突かれてSQLインジェクション攻撃が行われました。流出した情報はトークン方式クレジットカード決済情報データベースより、2021年10月14日から2022年1月25日にクレジットカード決済を行った460,395件のカード番号、有効期限、セキュリティコードとのことです。また決済情報データベースからはカード決済より434件のカード番号、有効期限、コンビニ決済より109件の氏名、電話番号、メールアドレス、ペイジー決済より17件の氏名、郵便番号、住所、電話番号、電子マネー決済より33件のメールアドレスです。加盟店情報データベースからも38件の加盟店名、加盟店コードが流出していたとのことです。
対策としては、不正ログイン対策としてログイン認証方式の強化、SQLインジェクション対策として、脆弱性の修正、不正ファイル「バックドア」の削除の完了を発表しています。
引用元:https://www.gmb.jp/upload/save_file/03011639_79980621dcd99411dc.pdf
組織内で策定している情報セキュリテイポリシーにて、インシデント発生時のガイドラインを策定していも、未知のマルウェアが検出された際の内容に詳しく触れている企業はまだまだ多くないのが現状です。インシデント発生時に意思決定が遅れることで被害が拡大する可能性が高い為、万が一の発生に備えて、初動対応、対応方法等を策定しておく事が重要になります。インシデント発生時のガイドライン策定のご相談や、万が一未知のウイルスに感染した場合は情報セキュリティ110番へご相談ください。