GMOペイメントゲートウェイ(GMO-PG)は5月1日、同社が受託運営する東京都税のクレジットカード支払いサイトと住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトで発生した情報流出に関する最終報告書を公表した。不正アクセスの原因となったApache Struts 2の脆弱性対応に課題があったと指摘している。
この事案では3月に、都から収納代行業務の指定を受けているトヨタファイナンスを通じてGMO-PGが運営する「都税クレジットカードお支払サイト」と、住宅金融支援機構の団体信用生命保険特約制度の「クレジットカード払い」サイトで、Struts 2の脆弱性を突いた不正アクセスが発生。第三者によって大量の個人情報やクレジットカード情報が漏えいした恐れがある。
GMOペイメントゲートウェイが公開した報告書
GMO-PGと再発防止委員会が取りまとめた報告書では、今回の事案でGMO-PGがクレジットカードのセキュリティ基準「PCI DSS」の認証を取得し、一定レベルのセキュリティ体制を備えながらも、不正アクセスの原因となった脆弱性を突く攻撃に対しては奏功しなかったと総括する。
同社は2016年4月に「脱Struts宣言」をして、新規システムでのStruts 2の使用を中止した。しかし、既存システムでは変更による影響を考慮して使用が継続され、都度のアップデートなど個別対応にとどめていた。報告書は、「その最中での攻撃に不運な面も否定できない」とも言及している。
報告書では、特に脆弱性情報が公開されて以降の初期対応に課題があったと指摘されている。脆弱性情報は、日本時間3月6日午後10時過ぎに公開されたが、同社は同8日午後3時25日に、外部のセキュリティ情報サービスを通じて脆弱性の存在を把握。この間に、まず第三者が脆弱性を突いて保険特約料クレジットカード支払いサイトのシステムに不正アクセスし、バックドアを設置していた。同社が情報を入手した直後に、今度は都税支払いサイトでも攻撃が開始された。
同社は、8日午後6時20分にファイアウォールで攻撃元IPアドレスからの通信を遮断する措置を講じたが、Struts 2の脆弱性を認識したのは9日午後6時だったという。同午後9時56分にウェブアプリケーションファイアウォール(WAF)で脆弱性を突く攻撃を遮断する対策を実施し、同午後10時20分に緊急対策本部を設置した。
ここまでの初期対応は、実務に応じた対応マニュアルに沿うものだったという。緊急対策本部の設置について報告書では、脆弱性の影響規模からトップダウンによる優先対応を徹底するとの判断がなされたものと評価。また、事案発覚後の関係者への報告と公表までのプロセスも、時間的な遅滞はなかったと評価している。