知って得するセキュリティのはなし その92
PayPay加盟店情報等約2,000万件流出か…サーバーへの不正アクセス発覚
1.このニュースをざっくり言うと
- 12月7日(日本時間)、PayPay社より、同社運営の電子決済サービス「PayPay」の加盟店情報等が不正アクセスを受け流出した可能性があると発表されました。
- 被害を受けたとされるのは、同サイトの加盟店やその営業先の情報(店名・住所・代表者名等)の他、PayPay社従業員情報(氏名・所属・役職等)、同社パートナー・代理店情報(社名・連絡先・担当者名等)および加盟店向けアンケート回答者情報(氏名・電話番号・メールアドレス)の計20,076,016件に上り、約260万店とされる全加盟店に関連するものとされています(PayPay利用者側の情報は被害を受けていないとのことです)。
- 12月1日に外部からの連絡を受けて調査したところ、11月28日にブラジルからのアクセスが確認され、12月3日までに遮断を行ったとのことです。
2.執筆者からの所感等
- 2020年10月18日~12月3日にかけてデータベースへのアクセス権限設定に不備があり、本来同社内の店舗営業に関わる従業員のみがアクセス可能であったところ、外部からもアクセスが可能になっていたことが流出の原因とされています。
- 試験・診断等の目的でサーバー等に外部からのアクセスを許可する設定を行うことは多々あり、一部報道によればこれもそのケースとみられ、10月に一時的な設定を行った後それを無効にし忘れていたものと推測されます。
- そのようなアクセス許可設定は、IPアドレス等のアクセス元およびサーバー上のアクセス可能な範囲を基本的に必要最小限とし、設定を実施したことおよび無効にしたことを確実に記録し、また無効にした後は外部からアクセスできない状態であることを必ず確認することが重要です。
- 発表時点での情報の悪用は確認されていないとのことですが、大手人気決済サービスで発生した事案であり、全加盟店に関わる大規模な情報が奪取された恐れも考えられ、より厳密な被害範囲等の続報が待たれるところであり、そのためにアクセス状況が把握できるような環境の構築もまた肝要です。
