画像:GMOペイメントゲートウェイ株式会社HPより
都税支払いサイトや住宅金融支援機構の関連サイトの不正アクセスによる情報流出が続いていた問題で、両サイトの管理運営をしていたGMOペイメントゲートウェイは、あらたに調査結果や再発防止策を発表した。
同問題は、「都税クレジットカードお支払サイト」と、住宅金融支援機構の団体信用生命保険特約制度における特約料のクレジットカード支払いサイトが、「Apache Struts 2」の脆弱性を突かれ、クレジットカード情報など個人情報が外部に流出した。
GMOペイメントゲートウェイでは、問題発覚後、外部専門家を含む再発防止委員会を3月14日に設置。調査や再発防止策について検調査報告書として取りまとめ、公開している。
「Apache Struts 2」の脆弱性は3月6日に公表されたが、報告書によれば、同社が攻撃を受けたのは同月8日5時前。一方、同社が外部の情報提供サービスより最初に報告を受けたのが同日15時半前とのことで、その間10時間以上経っていた。またメールに危険度など示されておらず、セキュリティ担当者が脆弱性を把握したのは翌9日18時と、対応に大幅な遅れがあったという。
また「Apache Struts 2」について、2014年後半から現場では使用停止の議論があったものの、上申されることはなかったとのこと。
その後、2016年4月に「脱Struts宣言」を行い、 「Apache Struts 2」の使用停止を掲げたが、あらたなシステムの構築にとどまり、既存システムの再構築には至っていなかったという。
GMOペイメントゲートウェイは、再発防止のため4月14日までに以下のことを実施。
- 技術的な防止策における短期的対策
- セキュリティインシデント対応
- システム開発に関する短期的対策
さらにPCF社によるPCI DSSアセスメントを実施し、要件を満たしたことを確認したと説明。
今後も再発防止の中長期的な対策として、「Apache Struts 2」の使用を中止するほか、「SQL」における不正アクセス検知の改善や、PCI DSSの再監査など進めるとともに、リスクアセスメントの実施やセキュリティ人材の確保もしていくとのこと。
<関連記事>
都税納付サイトへ不正アクセス、クレカ情報67万件流出の可能性
都税支払いサイト受託運営のGMO-PG、不正アクセスに関する詳細を報告
GMO-PG、最終インシデント調査報告を公表
<参考>
「再発防止委員会の調査報告等に関するお知らせ」(PDF)/GMOペイメントゲートウェイ
GMO-PGが情報流出で調査報告 – 「脱Struts宣言」するも再構築まで至らず/Security NEXT