都税支払いサイトなどに不正アクセス、脆弱性攻撃の恐れ

ZDNET Japan Staff

2017-03-13 11:44

 GMOペイメントゲートウェイは3月10日、同社が受託運営する東京都税のクレジットカード支払いサイトと住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトで、不正アクセスによる情報流出が発生した可能性があると発表した。不正アクセスはApache Struts 2の脆弱性を悪用されたためだとしている。

 同社によると、流出の可能性がある情報は、都税支払いサイト側がクレジットカード番号と有効期限、メールアドレス、団体信用生命保険特約料クレジットカード支払いサイト側がクレジットカード番号と有効期限、セキュリティコード、カード支払い申込日、住所、氏名、電話番号、生年月日、メールアドレス、加入月となる。流出規模は前者が最大67万6290件、後者が4万3540件と見積もっている。

 流出の可能性は、同社が3月9日夕刻にApache Struts 2の脆弱性の影響を調査したところ発覚した。同日午後10時前に、ウェブアプリケーションファイアウォール(WAF)で不正パターンによるアクセス遮断を実施し、同11時53分に不正アクセスの痕跡を確認したことから、Apache Struts 2を使用している全システムを停止させた。

 翌10日朝までに不正アクセスされたサイトや情報の内容、件数などを確認し、都税支払いサイトの運営を同社に委託しているトヨタファイナンスと住宅金融支援機構に状況を報告。同日中に顧客対応とセキュリティ会社による調査を開始した。

 都税支払いサイトは、トヨタファイナンスが東京都から収納代行業務の指定を受け、ウェブサイトの運営をGMOペイメントゲートウェイに委託していた。トヨタファイナンスは国税庁や他の自治体からも収納代行業務の指定を受けているが、都税支払いサイト以外では同様の問題が発生していないと説明している。

 また住宅金融支援機構は、10日時点で情報悪用などの報告は無いとし、団体信用生命保険特約制度の「クレジットカード払い」の申し込み受付を一時的に休止中。GMOペイメントゲートウェイに対し、詳細な事実関係の調査と報告、セキュリティ対策の強化を求めているとした。

 不正アクセスの原因とされるApache Struts 2の脆弱性「CVE-2017-5638」は6日に情報が公開され、情報処理推進機構などが脆弱性を悪用する攻撃への注意を呼び掛けていた。セキュリティサービス会社のラックによれば、7日頃から脆弱性の悪用を狙った攻撃が国内で観測され、9日頃からは非常に重大な被害につながる恐れのある攻撃を検知したと報告。同社がセキュリティ監視を受託している企業で被害やインシデントが発生しているとして、注意を呼び掛けていた。


情報流出の可能性を明らかにしているGMOペイメントゲートウェイ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]