【更新】PayPayに不正アクセス、オンライン診療関連も含む加盟店情報など約2,000万件の情報流出か
キャッシュレス決済サービス大手のPayPayは2020年12月7日、外部からの通報により調査したところ、管理サーバが不正アクセスを受けていたことが発覚したと発表した。現在は対策を強化したとしているが、流出したおそれのある情報は加盟店情報など約2000万件としており、深刻なインシデントと言わざるを得ない事態となっている。
11月末に海外から不正アクセス、外部からの通報で認識
同社が発表したところによると、2020年12月1日に外部からの連絡を受け、管理サーバーにある加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルから不正アクセスを受けていたことが発覚。調査により以下の情報が流出した恐れがあるという。
(1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、営業対応履歴
(2)加盟店営業先の店名、住所、連絡先、代表者名、営業対応履歴
(3)当社従業員の氏名、所属、役職、連絡先
(4)当社パートナー・代理店の社名、連絡先、担当者名、売上振込先
(5)加盟店向けアンケート回答者の氏名、電話番号、メールアドレス
同社は12月3日までに管理サーバを外部から遮断しており、現時点でこれらの情報が利用された事実はないとしているが、流出した可能性のある情報の件数は最大で20,076,016件に上ると公表した。原因はアクセス権限の設定不備で、10月中旬から不備の状態のまま運用されていたとのこと。今後は監視を強化するとしているが、発覚まで1ヵ月以上不備に気づかなかったこと、また不正アクセス自体も外部からの指摘で認識したことなど、監視体制の不備に批判が集まるのは必至だ。
なお同社はオンライン診療を行う医療機関向けにキャッシュレス決済用のQRコードを発行しており、このサービスを利用したい医療機関も「加盟店」として登録している。Med IT Techが流出した可能性のある情報にこの関連の情報が含まれているのか問い合わせたが、記事執筆時点(2020年12月7日22時)までに回答は得られていない。
追加情報(2020年12月8日午前)
PayPayから回答があり、それによると「オンライン診療の決済用コードを現在利用している医療機関」と「同社が営業活動を行う予定であった医療機関」の情報が漏えいした可能性があるとのことだが、当該医療機関をオンライン診療で利用した患者の情報は含まれていないという。可能性のある医療機関には個別に連絡済みとのことだが、同社が単に営業先としてリストにしていた医療機関については連絡がとれないところもあるため、心配な場合はコールセンターに連絡してほしいとしている。