>データはシステム内を流れていたが、保管や保存はしていない
これもしかして連係基盤に一時的に置かれたデータのことを指してるんか・・・？

保存しちゃダメ→短時間ならヨシ！
って設計がもうダメでしょ

メタップスに電話したら１期間ならセキュリティコードの保存をするのは許されているみたいな説明されたのだけど、本当？

気になる今日のニュース

重大なサイバー攻撃を受けた国ランキング ダントツは米国、日本は何位？

クレジットカードのセキュリティコードを保存していた疑いも出ています。
もしそうだとするとサービス利用企業・自治体以外で不正利用されるという可能性も出てくるのですが。

みてる

気になる今日のニュース

重大なサイバー攻撃を受けた国ランキング ダントツは米国、日本は何位？

記事中のDBが我々の想像するDBと等しいかどうかも不明なので何もわからない。

>2カ月後をめどに再度PCI DSS審査を行う予定
>メタップスペイメントの決済基盤を使っている企業・団体一覧の公表予定はない
>4月をめどに社内のガバナンス体制や組織体制、社員意識などについてとりまとめ


再審査の結果が出るまで復旧しないなこれは

決済済みのクレカのCVV2/CVC2を自社に置くの、まさに酷さ杜撰さがマックスで、会社の体質では。メタップスを決済に使っていた法人を総ざらいしないと…

見出しでちょっと誤解でそうだけど、PCI DSS 3.2.1 の要件3.2.2では"承認後の保存"がNGなので、承認するために一時的に保存するのはOKだったはず。あくまで一時的。

あーあ、、、それなら流出も納得。。。

どこまで公表されるのかはわかりませんがバックドアの設置前後で何があったかは興味ありますね。SQLインジェクションはバックドアの設置後じゃないかと思います。最初はheartbreedみたいにメモリから強制吐き出さされ系じゃないかなと思います。想像ですけど興味あります。

脆弱性診断が何も機能してなくて草。というか再開する気満々なのが更に草ｗ

PCI DSS的にはアウトですね…まぁ思うところはいろいろ…

さすがにふざけんな案件だな。どうなっちゃうんだろう。

うへぇぇ……😱

POSTされた値を全部セッションに保存して遷移するタイプの作りで、DBにセッション情報が保存されるけど古いもの消してなかったとかなのだろうか。

全然ダメじゃん。一番悪いのは攻撃者だけど、善管注意義務違反だろ、こんなん。

審査機関も役に立ってなかったみたい。
2か月後にPCI DSS再審査っていっても一朝一夕で終わらないと思うので、別の決済業者探した方が良いかもね。

『メタップスペイメントでは「承認処理の際、データベースにセキュリティコードを短期間保持していた」という』

審査通した業者の廃業命令が必要なのでは

>

二ヶ月で対策してPCI DSS再審査とか炎上プロジェクトの匂いしかしない。セキュリティコード保存がヤバいと思ってなかったならまずは何を改善すべきか認識したチームにしないとまた再発しそうだし。

気になる今日のニュース
日本赤十字社でクレカ情報最大約5000件流出の可能性 メタップス不正アクセスに巻き込まれ

ヤバ〜

> メタップスペイメントは訪問審査と、アプリケーション脆弱性診断を年に1回、ネットワーク脆弱性診断を四半期に1回実施していたという。

PCI DSSの信頼性の危機では…

「「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている」

「クレジットカード決済基盤を提供するメタップスペイメント（東京都港区）で、セキュリティコードを含むカード情報が流出した可能性」「保存してはいけないはずのデータを保存していたのか？」

控えめに言ってクソ

みてる：

引用：メタップスペイメントでは「承認処理の際、データベースにセキュリティコードを短期間保持していた」

ひでぇ。

これ、PCI DSS からも説明必要でしょう。SQLインジェクションを検知できない脆弱性診断って何の意味があるの？

審査機関の責任は？

>メタップスペイメントは訪問審査と、アプリケーション脆弱性診断を年に1回、ネットワーク脆弱性診断を四半期に1回実施していたという。

短時間！短時間！承認処理限定！
で済む事なのか？🤔

>

「セキュリティコードは短期間保持していた」
短期間で消えるように作らない限りは消えないので、保持してはいけないことを認識した上での確信犯的設計？

メタップス不正アクセス問題の経緯を同社に聞く

保存してた理由が意味不明。

素人がデータベース入門みたいな本読みながら作ったサービスなんか？？w

短期間でも保存しちゃだめなやつだよね

保持してたじゃねえよ…

PCIDSSって癒着で認証くれるやつか 懐かしい

まじふざけんなよ。なんでセキュリティコードを保存してるんだよ。

不正利用されたからカード止めなきゃで、いろんなサービスで引き落とし情報の変更しなきゃいけなくてめちゃくちゃめんどうだったわ。

これでPCI DSS認証剥奪されないなら、なんのための審査なのか。

どんどんボロが出る。
↓
情報セキュリティ基準…では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならない

メタップスペイメントでは「承認処理の際、データベースにセキュリティコードを短期間保持していた」

保存してはいけないはずのデータがなぜ流出したのか？
これは、、、

不正アクセスに関するご報告とお詫び

なんと

不正アクセスの調査結果や総務省など関係省庁に提出した書類、メタップスペイメントの決済基盤を使っている企業・団体一覧などの公表予定はない。

情報セキュリティ基準「PCI DSS」では、セキュリティコードを含む「機密認証データ」について、カードの承認処理後は暗号化していても保存してはならないと定められている

「承認処理の際、データベースにセキュリティコードを短期間保持していた」

このような管理体制では「PCI DSS」の信頼性にも関わるのでは？

短期間とかそういう問題じゃなくない？PCIDSSおわったな

そういうことっすね

一発アウト案件では？
これで、PCI DSSを取得認めるなら、その価値は無いですね。

メタップスペイメント、やっぱりセキュリティコードをデータベースに保存していたんだ。PCI DSSの認証は取っていたらしい。
IT技術者の視点だととんでもない事件だと思うが、株価が無反応なのはなんとも不思議。これがGMOPGだったらまた違った反応になっていそうな気がする。

『保持期間は非公開だが「長期間保存していた事実はない」』この辺は、どう解釈されるのか気になるところ

ヤバそう ↓

保持期間は非公開だが「長期間保存していた事実はない」

こういう説明って面白いよな
非公開…
どこまでが短期間でどこからが長期間なんだろう
誰が短期長期を決めてるんだろう

ざわ・・ざわ・・🥵

PCI-DSSの審査をした企業もNW/APP脆弱性診断をした企業もポンコツだったってことか。
ナムサン！！

アカンやん。お取り潰し不可避

"承認処理の際、データベースにセキュリティコードを短期間保持していた"<処理中はそりゃ保持してますわ,って意味ならそりゃそうなんだけど,だったらシステム侵入時の「直前に」使われたコードも参照できなくない？

PCI DSS認証の取得してこれか。審査内容も再検査する必要あるんじゃない？

“メタップスペイメントでは「承認処理の際、データベースにセキュリティコードを短期間保持していた」という。攻撃者は、システム侵入時の直前に決済で使われた暗号化されたセキュリティコードを取得できる状態にあったとみられる…保持期間は非公開”

(ノ∀｀)ｱﾁｬｰ

♪ハリボテ

『不正アクセスの調査結果や総務省など関係省庁に提出した書類、メタップスペイメントの決済基盤を使っている企業・団体一覧などの公表予定はない。』とあるが、結局エンドユーザーは自分のクレカが該当するかは分からないってこと？不安なら再発行してねって？

物は言い様だがルール違反していたのは紛れもない事実ぽいｗ＞「メタップスペイメントによれば、保持期間は非公開だが『長期間保存していた事実はない』としている」

保存してはいけないデータを保存していたのか？
→長期間保存していた事実はない…🤔？

SQLインジェクション（データベースを不正操作）やバックドアの設置等の攻撃を受けていた

＞今回の不正アクセスで同社は、データベースを不正操作する「SQLインジェクション」やバックドアの設置などの攻撃を受けていた。

SQLインジェクションかぁ

PCI DSS認定取得は簡単な事じゃないんだけどねぇ…。SQLインジェクションだって加盟店ならともかく(本当は駄目だけど)サービス提供責任者な訳だしなぁ… 『

過去形ということはセキュリティコードを保存しない改修と保存されているセキュリティコードの削除は完了しているということなのかな？→

「保持期間は非公開だが「長期間保存していた事実はない」としている」

CVVの流れるところを書き換えられたパターンかと思ってたけど、「保持期間は非公開」でDBに入れてたのは印象悪い。

すごいな＞

全確保支援士NEWS

投稿時間:2022-03-02 14:03:03

【IT media News】