2022 年7月1日
(開示事項の経過)当社子会社における不正アクセスに関するお知らせ
本日、当社子会社である株式会社メタップスペイメントにおける不正アクセスについて、同子会社より「不正アクセスによる情報流出に関する対応状況について」を公表させていただきましたのでお知らせいたします。詳細につきましては、別紙をご参照ください。
なお、本件が 2022 年 12 月期連結業績に与える影響は精査中です。今後、公表すべき事項が生じた場合には、速やかにお知らせいたします。
改めまして、お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたことを深くお詫び申し上げます。
以上
(別紙)
2022 年 7 月 1 日
株式会社メタップスペイメント
不正アクセスによる情報流出に関する対応状況について
2022 年 2 月 28 日付「不正アクセスによる情報流出に関するご報告とお詫び」にて開示のとおり、2021 年 10 月から 2022 年 1 月にわたって当社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を突いたサイバー攻撃によって複合的な不正アクセスが行われ、最終的に決済情報等が格納されているデータベースから個人情報を含む情報が外部に流出し、クレジットカードの不正利用(以下、「本件」という)に至りました。
本件の発生以来、当社はクレジットカード決済における基盤であるネット決済システムに対して、技術的安全性の確保を最優先に掲げ、原因究明のために調査会社 2 社からフォレンジック調査を受け(※1)、決済システム監視体制の強化(WAF の導入・24 時間 365 日監視対応、アラート検知体制の整備、IPS による不正アクセスの遮断)、サーバの分離によるアクセス制御及び各種(アプリケーション・ネットワーク)脆弱性診断等の対策を順次実施すると共に、PCIDSS の認定セキュリティ評価者(QSA)より、ネット決済システム及び一部のフロントシステムについて、PCIDSS Ver 3.2.1 への準拠の認定を受けました(※2)。なお、現時点で準拠の確認できていないフロントシステムについては、準拠に向けて審査中の状況です。
並行して、当社は、2022 年 2 月 25 日、役員に外部の専門家アドバイザーを加えたメンバーで構成される再発防止委員会を設置し、再発防止策の検討及び実施を継続してまいりました。また、更なる事実関係の解明及び原因究明を目的として、2022 年 4 月 7 日付けで、当社及び再発防止委員会とは独立した組織である第三者委員会を設置し(※3)、別添 1 のとおり、第三者委員会による報告書を受領しております。
なお、別途公表させていただきましたように、当社は 2022 年 6 月 30 日付けで、経済産業省より割賦販売法第 35 条の 17 の規定に基づく改善命令を受けました。今後は、改善命令に係る指摘事項及び第三者委員会による提言を踏まえた再発防止策を速やかに策定すると共に、これらを確実に遂行して参る所存でございます。
以上
公式ページ(続き・詳細)はこちら
https://ssl4.eir-parts.net/doc/6172/tdnet/2152965/00.pdf