画像:GMOペイメントゲートウェイ株式会社HPより

都税支払いサイトや住宅金融支援機構の関連サイトの不正アクセスによる情報流出が続いていた問題で、両サイトの管理運営をしていたGMOペイメントゲートウェイは、あらたに調査結果や再発防止策を発表した。

同問題は、「都税クレジットカードお支払サイト」と、住宅金融支援機構の団体信用生命保険特約制度における特約料のクレジットカード支払いサイトが、「Apache Struts 2」の脆弱性を突かれ、クレジットカード情報など個人情報が外部に流出した。

GMOペイメントゲートウェイでは、問題発覚後、外部専門家を含む再発防止委員会を3月14日に設置。調査や再発防止策について検調査報告書として取りまとめ、公開している。

「Apache Struts 2」の脆弱性は3月6日に公表されたが、報告書によれば、同社が攻撃を受けたのは同月8日5時前。一方、同社が外部の情報提供サービスより最初に報告を受けたのが同日15時半前とのことで、その間10時間以上経っていた。またメールに危険度など示されておらず、セキュリティ担当者が脆弱性を把握したのは翌9日18時と、対応に大幅な遅れがあったという。

また「Apache Struts 2」について、2014年後半から現場では使用停止の議論があったものの、上申されることはなかったとのこと。
その後、2016年4月に「脱Struts宣言」を行い、 「Apache Struts 2」の使用停止を掲げたが、あらたなシステムの構築にとどまり、既存システムの再構築には至っていなかったという。

GMOペイメントゲートウェイは、再発防止のため4月14日までに以下のことを実施。

  • 技術的な防止策における短期的対策
  • セキュリティインシデント対応
  • システム開発に関する短期的対策

さらにPCF社によるPCI DSSアセスメントを実施し、要件を満たしたことを確認したと説明。

今後も再発防止の中長期的な対策として、「Apache Struts 2」の使用を中止するほか、「SQL」における不正アクセス検知の改善や、PCI DSSの再監査など進めるとともに、リスクアセスメントの実施やセキュリティ人材の確保もしていくとのこと。

<関連記事>
都税納付サイトへ不正アクセス、クレカ情報67万件流出の可能性
都税支払いサイト受託運営のGMO-PG、不正アクセスに関する詳細を報告
GMO-PG、最終インシデント調査報告を公表

<参考>
「再発防止委員会の調査報告等に関するお知らせ」(PDF)/GMOペイメントゲートウェイ
GMO-PGが情報流出で調査報告 - 「脱Struts宣言」するも再構築まで至らず/Security NEXT

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。