サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

GMO-PG、情報流出の調査報告-中長期的対策で改善図る



画像:GMOペイメントゲートウェイ株式会社HPより

都税支払いサイトや住宅金融支援機構の関連サイトの不正アクセスによる情報流出が続いていた問題で、両サイトの管理運営をしていたGMOペイメントゲートウェイは、あらたに調査結果や再発防止策を発表した。

同問題は、「都税クレジットカードお支払サイト」と、住宅金融支援機構の団体信用生命保険特約制度における特約料のクレジットカード支払いサイトが、「Apache Struts 2」の脆弱性を突かれ、クレジットカード情報など個人情報が外部に流出した。

GMOペイメントゲートウェイでは、問題発覚後、外部専門家を含む再発防止委員会を3月14日に設置。調査や再発防止策について検調査報告書として取りまとめ、公開している。

「Apache Struts 2」の脆弱性は3月6日に公表されたが、報告書によれば、同社が攻撃を受けたのは同月8日5時前。一方、同社が外部の情報提供サービスより最初に報告を受けたのが同日15時半前とのことで、その間10時間以上経っていた。またメールに危険度など示されておらず、セキュリティ担当者が脆弱性を把握したのは翌9日18時と、対応に大幅な遅れがあったという。

また「Apache Struts 2」について、2014年後半から現場では使用停止の議論があったものの、上申されることはなかったとのこと。
その後、2016年4月に「脱Struts宣言」を行い、 「Apache Struts 2」の使用停止を掲げたが、あらたなシステムの構築にとどまり、既存システムの再構築には至っていなかったという。

GMOペイメントゲートウェイは、再発防止のため4月14日までに以下のことを実施。

  • 技術的な防止策における短期的対策
  • セキュリティインシデント対応
  • システム開発に関する短期的対策

さらにPCF社によるPCI DSSアセスメントを実施し、要件を満たしたことを確認したと説明。

今後も再発防止の中長期的な対策として、「Apache Struts 2」の使用を中止するほか、「SQL」における不正アクセス検知の改善や、PCI DSSの再監査など進めるとともに、リスクアセスメントの実施やセキュリティ人材の確保もしていくとのこと。

<関連記事>
都税納付サイトへ不正アクセス、クレカ情報67万件流出の可能性
都税支払いサイト受託運営のGMO-PG、不正アクセスに関する詳細を報告
GMO-PG、最終インシデント調査報告を公表

<参考>
「再発防止委員会の調査報告等に関するお知らせ」(PDF)/GMOペイメントゲートウェイ
GMO-PGが情報流出で調査報告 – 「脱Struts宣言」するも再構築まで至らず/Security NEXT


無料のWEBセキュリティ診断が可能!

URLhttps://cybersecurity-jp.com/shindan/ 「WEBセキュリティ診断くん」は、Webアプリケーションに存在する脆弱性を診断するツールで、無料でWEBサイトに存在する脆弱性の数を把握することが可能です。 また、実際に脆弱性に対してどのような対策を行えば良いかは、月額10,000円からの少額で診断結果を確認することが可能です。 まずは無料で脆弱性の数を診断してみてはいかがでしょうか?


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。