カード情報など約72万件が漏えいか。決済代行のGMOペイメントゲートウェイ

GMOペイメントゲートウェイが運営を受託している2つのサイトが外部から不正アクセスを受け、セキュリティコードを含むカード情報71万9830件が漏えいした可能性があることがわかった。

使用していたアプリケーションワークフレームに外部から悪意あるプログラムが仕込まれたことが原因。

不正アクセスを受けたのは、東京都の「東京都税 クレジットカードお支払いサイト」と独立行政法人住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」の2サイト。

東京都税のサイトからは67万6290件のカード情報（カード番号、有効期限）、住宅金融支援機構のサイトからは4万3540件のカード情報（カード番号、有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日）が流出した可能性がある。一部顧客のメールアドレスやサービス加入日なども漏洩したとみられる。

3月10日時点で該当2サイト以外について、GMOペイメントゲートウェイのサービスで同様の問題は発生していないとしている。

アプリケーションフレームワークである「Apache Struts2」の脆弱性を突かれた。「Apache Struts」 は、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワーク。リモートで任意のコードが実行される脆弱性が存在し、第三者によってサーバ上で悪意あるコードを実行された可能性があるという。

3月8日に独立行政法人情報処理推進機構（IPA）が「Apache Struts2」の脆弱性について公表。「Apache Struts2」の脆弱性は、攻撃者が「Apache Struts2」に悪意あるリクエストを送信することで、遠隔からサーバ上にて任意のコードが実行される可能性があるというもの。

GMO-PGのセキュリティ対応

GMO-PGは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定したクレジット業界におけるグローバルセキュリティ基準「PCIDSS」に準拠。ほかには、情報セキュリティ管理のグローバル・スタンダード基準とされる第三者認証基準のISMS（情報セキュリティマネジメントシステム）認証基準である国際規格ISO/IEC 27001:2013（国内規格JIS Q 27001:2014）の認証などを取得している。

なお、経済産業省主導の「クレジット取引セキュリティ対策協議会」（事務局は日本クレジット協会）が2017年3月にまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」では、PSP（Payment Service Provider、決済代行業者）については、「カード会社（イシュアー・アクワイアラー）及びPSPについてはPCIDSS準拠を求めることとする」と規定している。

不正アクセス発覚の経緯

2017年3月9日の午後6時、IPAが公表した「Apache Struts2の脆弱性対策について（CVE-2017-5638）（S2-045）」、および一般社団法人 JPCERTコーディネーションセンター（JPCERT）の「Apache Struts2の脆弱性 (S2-045) に関する注意喚起」の情報に基づき、GMOペイメントゲートウェイのシステムへの影響を調査。3月10日未明に2サイトへの不正アクセスの可能性を確認した。

カード情報が流出した顧客への対応は、クレジットカード会社と協議して進めていく方針。再発防止策を検討するため、3月10日にセキュリティ専門会社によるシステム調査を開始した。警察への捜査協力も行うとしている。

決済代行会社やプラットフォーム提供会社など、EC支援企業による過去の情報漏えい事故では、2011年にASJの決済代行サービス「ASJペイメント」においてクレジットカード利用客のカード情報が漏えい。

また、2016年にはパイプドビッツが提供しているECプラットフォーム「スパイラルEC」では個人情報が、カゴヤ・ジャパンのデータベースサーバーからはカード情報などが流出している。