Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

メタップスペイメントへの不正アクセス事件を考えてみた その5(事故対応)

前回記事に引き続き決済代行会社のメタップスペイメント社への不正アクセス事件についてPCI DSS(専門家)の視点でこの事件を考えてみます。

 

※関連記事

メタップスペイメントへの不正アクセス事件を考えてみた その1(セキュリティコード)

メタップスペイメントへの不正アクセス事件を考えてみた その2(侵害検知)

【限定】メタップスペイメントへの不正アクセス事件を考えてみた その3(ASVスキャン)

【限定】メタップスペイメントへの不正アクセス事件を考えてみた その4(時系列)

タップスペイメントへの不正アクセス事件を考えてみた その5(インシデント対応)

 

公式発表

不正アクセスによる情報流出に関するご報告とお詫び(2/28)[魚拓] ※第2報

不正アクセスに関するご報告とお詫び(1/25)[魚拓] ※第1報

 

f:id:foxcafelate:20220308114424p:plain

 

キタきつねの所感

※お断り:私自身はPCI DSSに関する専門家(有資格者)の1人ですが、メタップスペイメント社の審査やフォレンジック調査、コンサル業務等には一切携わっておりません。本記事に記載の内容は、メタップスペイメント社が公開した情報や関連報道等を元に、第三者の立場として推測した内容となります。今後のマスコミ等の報道内容や、メタップスペイメント社が4月以降に発表する可能性がある最終報告内容と合致しない可能性もありますので、その旨ご了承下さい。

 

■インシデント対応に求められるスピード感

本シリーズの最終回は、メタップスペイメント社の事故対応について考えてみます。決済代行会社からの大型(10万件)以上のカード情報漏えい事件について手元の資料を調べてみると、決済代行会社からのカード情報漏えいはここ数年ほとんど無く、2017年のGMOペイメントゲートウェイ(以下GMO-PG社)まで遡りました。

 

2017年のこの事件を簡単に振り返ってみますが、東京都の都税支払いサイト(約67.6万件)と住宅金融支援機構のサイト(約4.3万件)が不正アクセスを受けて約72万件のカード情報が漏洩した事件です。当時国内ではゼロディと言っても過言ではないApache Struts2脆弱性が悪用されたのですが、2017/3/9にIPAから注意喚起が出た後すぐにGMO-PGは脆弱性調査を始めていて、その影響調査中に侵害の形跡を発見し、2017/3/10には不正アクセスについての第1報を出しています。

※米国Apache財団のHPでは3/6に注意喚起が公表され、Gituhubに攻撃コードが公開されたのが3/7だったとされ、3/8朝にJPCERTが早期警戒情報を発信(この時GMO-PGは未加入)し、IPAの注意喚起を3/8夕方に気づいて対処を始めた際には既に攻撃を受けていたと調査報告書で説明されています。(※ゼロディだったと言っても過言では無いと思います)

そして2017/3/14には再発防止委員会を設置し、委員会が取りまとめた調査報告書(最終報告書)は2017/4/30(発表は2017/5/1)に提出されています。

 

GMO-PG社への不正アクセス事件は、ほぼゼロディ攻撃であったにも関わらず、大型のカード情報漏えい事件だったという事もあってか、当時GMO-PGは関係各所から責められたと言われています。

経産省が「実行計画2017」を発表する少し前に事件が発生した事も影響していた気もします

しかし、その後の対応が素晴らしかった事から、記憶が正しければ第3回の事故対応アワードにノミネートされていたかと思います(受賞したのはGMO-PG社より対応が遅かった”ぴあ”でしたが・・・)

 

一方で、メタップスペイメント社の事故対応を振り返ってみると、2021/12/14のカード会社から「イベントペイ」での不正利用懸念の連絡を受領してから、第1報(2022/1/25)を出すまでに1か月以上かかっています。

そこから更に1か月以上かかり第2報(中間報告:2022/2/28)が出され、この第2報において「再発防止委員会」の設置が公表され、2022/4を目途に取りまとめを行うとしています。

つまり、メタップスペイメントは事件検知(12月中旬)から最終報告まで4か月(以上)かかると判断している事となり、GMO-PG社が2か月で調査報告書を出している事を考えると、「スピード感」が無い様に思えてなりません。

 

勿論、事件によって侵害規模も違う訳であり単純に比較できるものではありません

特に今回のメタップスペイメント社の場合、複数の決済サービス(DB)が不正アクセスの影響を受けただけでなく、社内管理システム等も侵害を受けていたとされ、影響調査やステークホルダー(影響を受けた可能性がある企業への説明)に時間が要していたのだとは思いますが、仮にそうであったとしても、大きな影響を受けた事が判明した時点で、第1報をもっと早く出すべきだったと思いますし、もう少し細かく経過報告を行う選択をしても良かったのではないかと思います。

 

更に言えば、フォレンジック調査結果を待って、第2報を2月末まで引っ張った訳ですから、フォレンジック調査結果に書かれていたであろう、「イベントペイ」「会費ペイ」以外に影響を受けたサービス(少なくても3つ以上あった推定されます)についてもきちんと説明をすべきだったと思います。

 

もう1点、PCI DSS規定違反という訳ではありませんが、メタップスペイメント社のセキュリティ認証(審査)についても触れておきます。

f:id:foxcafelate:20220315170949p:plain

 

タップスペイメント社の沿革ページを見ると、2005年にISMS認証、そして2008年にPCI DSS準拠認定を受けており、現在まで継続していた様ですが、どうやら同じ審査会社を継続して利用していた様です。

※この事自体はルール上まったく問題ありません

f:id:foxcafelate:20220315171559j:plain

 

PCI DSS準拠のオンサイト審査で考えた場合、2008年から14年近く同一の審査会社(QSAC)を利用していたと推測されます。

審査会社(審査官)によって甘い・辛いも含めて審査ポイントは変わってくる事も多いので、認定維持を考慮して同一審査会社(≒去年と同じ会社)を利用するのは、個社としての戦略の1つではありますが、仮に上記の推測が合っており10年以上同じ会社を利用していたのだとすれば、やはり長すぎたのではないかと思います。

 

カード情報を大量に取り扱うサービスプロバイダー(決済代行会社)にとってセキュリティチェック(審査)が重要である事は言うまでもありません。

インシデントを発生させないという大目的を考えると、チェック漏れが無い様に、一定期間が経過したら審査会社を変更する。特にPCI DSSオンサイト審査や侵入テストでは、こうした「新たな視点」を入れる事も検討すべきだったのではないかと思います。

 

 

完全に余談となりますが、今回のメタップスペイメント社の不正アクセス事件の被害者に私もなっていた可能性があった様です。

第1報の後、会社主催のイベントでカード決済をした際に「イベントペイ」を利用していたと会社側から通知がありましたが、第2報の影響範囲(カード利用期間)から外れていたので、幸い被害者に名を連ねる事はありませんでした。

私自身はPCI DSSの専門家(有資格者)ではあり、普段からカード不正利用などに比較的気を付けている方だとは思いますが、そんな専門家であっても会社イベントのケースの様に、カード以外に支払い手段が提供されないケースでは、インシデントリスクを避ける事が出来ないケースも多々あります。

本来は、決済サービスを提供してくれる企業側がセキュリティ対策をしっかりしてくれる事が望ましいのですが、クレジットカード系の決済については仮に不正被害に遭った際にも、不正被害が認められればカード会社側で60日以内の支払いについての補償をしてくれますし、カードの再発行も無償になるかと思います。

※別な漏えい事件の際に1度カード再発行をした事がありますが、たまたま公共料金等の定期支払いに当該カードを使っており、変更手続きに苦労した記憶があります。

 

こうした場合に個人の”防衛策”として考えられるのは、まずはカード会社が提供する利用明細をきちんと確認する事かと思います。

また、カード利用した際に通知をしてくれるスマホアプリ等が使える場合は、こうしたアプリを利用するのも有効な対策かと思います。

その他、クレジットカードを複数枚持ち、公共料金の支払い等、用途に応じて使い分ける事も、カード不正利用被害に遭った際に”ダメージを軽減する”事に役立つかと思います。

利用限度額を予め設定できるネット決済用のクレジットカードや、プリペイドカード等、カード会社も様々な用途向けのカードを発行していますので、こうしたカード情報漏えい事件に不安に感じられている方は、一度カード会社のホームページをチェックされてみる事をお勧めします。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 スマートフォンでのeラーニングのイラスト(男性)

 

更新履歴

  • 2022年3月15日 PM