本記事では、株式会社メタップスペイメントの決済システムから約240万件のクレジットカード情報が漏洩した事件について、「どう対策すれば防げたのか?」という観点を中心に詳しく解説していきます。
本事件は「企業セキュリティ」というテーマにおいて非常に学びが多く、本事件の流れ、被害内容、サイバー攻撃の手口、その対策方法などを知ることで、御社のセキュリティ対策にとって多くの収穫を得られるはずです。
メタップスペイメントへの不正アクセス・情報漏洩事件の概要
株式会社メタップスペイメント(以降 メタップスペイメント)の決済データセンターサーバ内に設置されたアプリケーションの脆弱性が利用されたことを発端に、2021年8月2日~2022年1月25日の間で複合的なサイバー攻撃が繰り返され、決済情報等が格納されているデータベース等から約240万件のクレジットカード情報や、その他の約200万件の個人情報が漏洩しました。
以降の記載は、先日公開された第三者委員会調査報告書を基に作成しています。
不正アクセスによる情報流出に関するご報告とお詫び
2022年1月25日「不正アクセスに関するご報告とお詫び」にて、中間のご報告と共にトークン方式のクレジットカード決済サービスの停止をお知らせしました。
今般、第三者専門調査機関によるほふぇんじっく最終報告書を受領し、車内調査も完了致しましたので、下記の通り自体の概要および当面の対処、今後の対応についてお知らせいたします。
第三者委員会調査報告書(公表版)
メタップスペイメントは決済事業を主とした会社で、クレジットカード決済、電子マネー決済、コンビニ決済等の各種決済機能をECやリアル店舗に幅広く提供しています。また、実際の決済自体は行わずにサービスのパッケージを提供する「会費ペイ」「イベントペイ」「チケットペイ」などの事業も展開しています。
今回不正アクセスおよび情報漏洩が確認されたデータベースは全部で3つあります。
①トークン方式クレジットカード決済情報データベース
2021年10月14日から2022年1月25日に利用されたクレジットカード情報は計460,395件で、漏洩が確認された情報にはカード番号、有効期限、セキュリティコードが含まれていました。
②決済情報データベース
2021年5月6日から2022年1月25日に利用された全ての顧客データで、以下の通りです。
- クレジットカード決済 2,415,750件(カード番号、有効期限、セキュリティコード)
- コンビニ決済 824,483件(氏名、電話番号、メールアドレス)
- ペイジー決済 170,436件(氏名、郵便番号、住所、電話番号)
- 電子マネー決済 980,490件(メールアドレス)
③加盟店情報データベース
計38件の加盟店名と加盟店コードが流出しました。
メタップスペイメントへのサイバー攻撃の手口・時系列
本章ではメタップスペイメントの第三者委員会の報告書を基に、本件におけるサイバー攻撃の手口と時系列についてまとめています。
1. クロスサイトスクリプティング攻撃(不正アクセス)_2021年8月
攻撃者はまず、メタップスペイメントの社内用決済管理画面「K管理画面」に存在したクロスサイトスクリプティング(XSS)脆弱性を利用し、正規ユーザ「X氏」のIDとパスワードを取得することで不正アクセスを成功させました。
その後、正規の従業員によってX氏のパスワードが偶然に変更されたため、攻撃者はX氏のアカウントでアクセスを行えなくなりましたが、上記と同様の手法で「Y氏」のIDとパスワードを取得することで以後はY氏としてK管理画面にアクセスを行っています。
2. SQLインジェクション攻撃(情報漏洩)_2021年10月
次に攻撃者は、K管理画面と同じサーバで稼働していた「A社アプリ」に対してSQLインジェクション攻撃を行い、約2万5千件のクレジットカード情報等を窃取しました。このアプリは、メタップスペイメント社と提携していた加盟店に対しサービスを提供するためのアプリケーションでした。
この際に暗号化されたカード情報、マスクされたカード情報、A社アプリの管理画面のアカウント情報な度が奪取されました。
暗号化およびマスクされたカード情報については、後に攻撃者が「復号鍵」を窃取したことで暗号が破られ(復号され)たことで情報が漏洩します。また、3が窃取されたことで攻撃者はA社アプリの管理画面にアクセス可能となり、次章で解説する「バックドアプログラムの設置」が行われてしまうこととなります。
3. バックドアプログラムの設置(情報漏洩)_2021年11月
続いて攻撃者はA社アプリの管理画面に不正アクセスを行い、管理画面の機能の1つである「ファイルアップロード」を利用して「バックドアプログラム」を設置しました。
※バックドアプログラム・・・外部から容易に不正アクセスすることができるようになるプログラム。システムの裏口。
これにより、A社アプリが接続可能な全てのデータベースが無防備となり、攻撃者はバックドアプログラムを介して、当時格納されていた全ての情報を不正取得したと考えられます。
4. ディレクトリトラバーサル攻撃(復号鍵窃取)
経済産業省の業務改善命令を見ると、当時データベース内に保存されていた暗号化された各種情報を復号するための復号鍵が、攻撃者によって窃取されていたことが分かります。
当該クレジットカード決済システム内のデータベースに保存していた暗号化されたクレジットカード番号(マスキングされたクレジットカード番号を含む。)、有効期限、セキュリティコード及びこれらを復号化するための復号鍵が窃取され、また、クレジットカード番号が不正に閲覧されることにより、クレジットカード番号等が漏えいした。
また、第三者委員会の報告書を見ると「復号APIディレクトリトラバーサルに対応」という記載があるため、復号鍵はディレクトリトラバーサル攻撃によって窃取されたものと考えられます。
事件から学ぶ、不正アクセス・情報漏洩から自社を守る方法
ここからは、メタップスペイメント社がどのような対策を行っていれば「事件を未然に防げた」のか、あるいは「被害を最小限に食い止められたのか」を検証していきます。
各章の中で「具体的な対策方法」を解説していますので、ぜひ御社のセキュリティ対策の参考にしてください。
クロスサイトスクリプティング攻撃・SQLインジェクションへの対策
メタップスペイメント社はクレジットカード情報を取り扱う企業ですので、当然「PCI DSS審査」に合格しています。
PCI DSSでは「脆弱性診断の実施と改善」と「WAFの導入」のいずれかが要求されますが、経産省の発表によれば、同社が審査時に提出した報告書は同社従業員によって改ざんされたものであり、事前の脆弱性診断で「XSS脆弱性」が検出されていたもののそれを無かったことにしていたといいます。メタップスペイメントの場合、WAFは未導入でした。
SQLインジェクション攻撃への有効な対策方法はXSSの場合と同様です。第三者委員会の報告書によると、メタップスペイメント社のA社アプリが開発されたのは2007年頃のことで、当時はまだ「SQLインジェクション攻撃への対策」は必須とされていなかったために脆弱性が残されたままになったということです。
いずれにしても、事前の脆弱性診断やWAFの導入を行っていれば、被害を防ぐことができたと考えられます。
セキュリティ専門企業の弊社としては「WAFの導入」を強くお勧めいたします。WAF(Web Application Firewall)は、Webアプリケーションを多様なサイバー攻撃から守るための最も有効なセキュリティ対策の1つです。
WAFを導入するだけで、XSSを含む様々な脆弱性を悪用した攻撃を防ぐことができるのです。以下はWAFが対応可能な攻撃の一部です。
- クロスサイトスクリプティング(XSS)
- SQLインジェクション
- OSコマンドインジェクション
- ブルートフォースアタック
- DoS/DDoS攻撃 etc…
弊社ペンタセキュリティシステムズでは、ハードウェア型WAF「WAPPLES」をはじめとして、導入・運用のコストが圧倒的に低いため、予算や人員を確保できない中小企業にお勧めな「Cloudbric WAF+」などのあらゆるニーズに対応できるWAF製品を提供しています。WAFの導入を検討したい方は、ぜひ一度弊社の製品ラインナップをご覧ください。
バックドアプログラムへの対策
バックドアプログラムの設置に対し、考えられる有効な対策は次の通りです。
- ファイルアップロード機能に制限を掛ける
- ファイル改ざん検知システムの導入
そもそも、XSS攻撃やSQLインジェクション攻撃への対策を行い「A社アプリへの不正アクセス」を防げていればバックドアプログラムが設置されることは無かったわけです。
万一に不正アクセスを許した場合でも、ファイルアップロード機能に制限を掛けて任意の内容のファイルをアップロード出来ないようにするか、ファイル改ざん検知システムを導入してバックドアの設置を早い段階で検知できていれば、今回の被害の大部分を防止することが出来たと考えられます。
データベース暗号化と暗号鍵管理に関する対策
約240万件のクレジットカード情報が漏洩した今回の事件において、最も重要なポイントは「暗号化された情報が攻撃者によって復号されたこと」にあります。
クレジットカード情報を含む個人情報は「暗号化」された状態でデータベースに保存されていたので、たとえそれが盗まれても、本来 攻撃者にとっては無意味な文字列データでしかありません。しかし、攻撃者によって「復号鍵」が窃取されたことで盗まれた全てのデータが復号され、クレジットカード情報を含む大量の個人情報が漏洩するに至りました。
以上から分かるように、「データベースの暗号化」と「暗号鍵(復号鍵)管理」は、情報漏洩対策における最後の砦と言っても過言ではありません。現代の企業セキュリティは「情報はいつでも盗まれる可能性がある」ことを前提にデータベース暗号化と暗号鍵管理の対策を進める必要があるのです。
弊社ペンタセキュリティシステムズでは、富士通アライアンスパートナー製品でもある「D'Amo」やOSSデータベース向けの「MyDiamo」などのデータ暗号化ソリューションだけでなく、高機能な暗号鍵管理システム「D'Amo KMS」などの製品も提供しています。
メタップスペイメントの情報漏洩事件、から学ぶセキュリティまとめ
本事件は「PCI DSS完全準拠」を掲げていた上場企業の子会社が、PCI DSS基準に準拠するどころか、高い脆弱性判定が出ていたのにも関わらず報告書を改ざんして提出し、結果として約240万件のクレジットカード情報を漏洩させてしまうという衝撃的な事案でした。
また、悪用された脆弱性はセキュリティ対策の「基本中の基本」とも言えるものばかりで、セキュリティを他人事として考えると企業活動に多大な損害を与えてしまう、という事が分かった、学びある事件と言えるでしょう。
それぞれの企業によって確保できる予算・人員などは異なることと思いますが、本記事で紹介したセキュリティ製品を導入するなどして、無理のない効果的な対策を実施することは十分に可能だと考えられます。セキュリティ対策をご検討中の方は、ぜひ一度、ペンタセキュリティシステムズへご相談ください。
