GMO-PGの情報流出、「脆弱性対応やリスク管理に問題あり」と報告書で指摘

ZDNet Japan Staff 2017年05月02日 13時47分

  • このエントリーをはてなブックマークに追加

 GMOペイメントゲートウェイ(GMO-PG)は5月1日、同社が受託運営する東京都税のクレジットカード支払いサイトと住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトで発生した情報流出に関する最終報告書を公表した。不正アクセスの原因となったApache Struts 2の脆弱性対応に課題があったと指摘している。

 この事案では3月に、都から収納代行業務の指定を受けているトヨタファイナンスを通じてGMO-PGが運営する「都税クレジットカードお支払サイト」と、住宅金融支援機構の団体信用生命保険特約制度の「クレジットカード払い」サイトで、Struts 2の脆弱性を突いた不正アクセスが発生。第三者によって大量の個人情報やクレジットカード情報が漏えいした恐れがある。

GMOペイメントゲートウェイが公開した報告書''
GMOペイメントゲートウェイが公開した報告書

 GMO-PGと再発防止委員会が取りまとめた報告書では、今回の事案でGMO-PGがクレジットカードのセキュリティ基準「PCI DSS」の認証を取得し、一定レベルのセキュリティ体制を備えながらも、不正アクセスの原因となった脆弱性を突く攻撃に対しては奏功しなかったと総括する。

 同社は2016年4月に「脱Struts宣言」をして、新規システムでのStruts 2の使用を中止した。しかし、既存システムでは変更による影響を考慮して使用が継続され、都度のアップデートなど個別対応にとどめていた。報告書は、「その最中での攻撃に不運な面も否定できない」とも言及している。

 報告書では、特に脆弱性情報が公開されて以降の初期対応に課題があったと指摘されている。脆弱性情報は、日本時間3月6日午後10時過ぎに公開されたが、同社は同8日午後3時25日に、外部のセキュリティ情報サービスを通じて脆弱性の存在を把握。この間に、まず第三者が脆弱性を突いて保険特約料クレジットカード支払いサイトのシステムに不正アクセスし、バックドアを設置していた。同社が情報を入手した直後に、今度は都税支払いサイトでも攻撃が開始された。

 同社は、8日午後6時20分にファイアウォールで攻撃元IPアドレスからの通信を遮断する措置を講じたが、Struts 2の脆弱性を認識したのは9日午後6時だったという。同午後9時56分にウェブアプリケーションファイアウォール(WAF)で脆弱性を突く攻撃を遮断する対策を実施し、同午後10時20分に緊急対策本部を設置した。

 ここまでの初期対応は、実務に応じた対応マニュアルに沿うものだったという。緊急対策本部の設置について報告書では、脆弱性の影響規模からトップダウンによる優先対応を徹底するとの判断がなされたものと評価。また、事案発覚後の関係者への報告と公表までのプロセスも、時間的な遅滞はなかったと評価している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]