渡部 和章 2017/3/13 12:00

GMOペイメントゲートウェイが運営を受託している2つのサイトが外部から不正アクセスを受け、セキュリティコードを含むカード情報71万9830件が漏えいした可能性があることがわかった。

使用していたアプリケーションワークフレームに外部から悪意あるプログラムが仕込まれたことが原因。

不正アクセスを受けたのは、東京都の「東京都税 クレジットカードお支払いサイト」と独立行政法人住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」の2サイト。

東京都税のサイトからは67万6290件のカード情報(カード番号、有効期限)、住宅金融支援機構のサイトからは4万3540件のカード情報(カード番号、有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日)が流出した可能性がある。一部顧客のメールアドレスやサービス加入日なども漏洩したとみられる。

3月10日時点で該当2サイト以外について、GMOペイメントゲートウェイのサービスで同様の問題は発生していないとしている。

アプリケーションフレームワークである「Apache Struts2」の脆弱性を突かれた。「Apache Struts」 は、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワーク。リモートで任意のコードが実行される脆弱性が存在し、第三者によってサーバ上で悪意あるコードを実行された可能性があるという。

3月8日に独立行政法人情報処理推進機構(IPA)が「Apache Struts2」の脆弱性について公表。「Apache Struts2」の脆弱性は、攻撃者が「Apache Struts2」に悪意あるリクエストを送信することで、遠隔からサーバ上にて任意のコードが実行される可能性があるというもの。

GMOペイメントゲートウェイが運営を受託していたサイトが不正アクセスを受けカード情報が漏えい

GMO-PGのトップページにはお詫び文が掲載されている(画像は編集部がキャプチャ)

GMO-PGのセキュリティ対応

GMO-PGは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定したクレジット業界におけるグローバルセキュリティ基準「PCIDSS」に準拠。ほかには、情報セキュリティ管理のグローバル・スタンダード基準とされる第三者認証基準のISMS(情報セキュリティマネジメントシステム)認証基準である国際規格ISO/IEC 27001:2013(国内規格JIS Q 27001:2014)の認証などを取得している。

なお、経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)が2017年3月にまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」では、PSP(Payment Service Provider、決済代行業者)については、「カード会社(イシュアー・アクワイアラー)及びPSPについてはPCIDSS準拠を求めることとする」と規定している。

不正アクセス発覚の経緯

2017年3月9日の午後6時、IPAが公表した「Apache Struts2の脆弱性対策について(CVE-2017-5638)(S2-045)」、および一般社団法人 JPCERTコーディネーションセンター(JPCERT)の「Apache Struts2の脆弱性 (S2-045) に関する注意喚起」の情報に基づき、GMOペイメントゲートウェイのシステムへの影響を調査。3月10日未明に2サイトへの不正アクセスの可能性を確認した。

カード情報が流出した顧客への対応は、クレジットカード会社と協議して進めていく方針。再発防止策を検討するため、3月10日にセキュリティ専門会社によるシステム調査を開始した。警察への捜査協力も行うとしている。

決済代行会社やプラットフォーム提供会社など、EC支援企業による過去の情報漏えい事故では、2011年にASJの決済代行サービス「ASJペイメント」においてクレジットカード利用客のカード情報が漏えい。

また、2016年にはパイプドビッツが提供しているECプラットフォーム「スパイラルEC」では個人情報が、カゴヤ・ジャパンのデータベースサーバーからはカード情報などが流出している。

*文末の記事の一部に誤りがあり、19時に修正いたしました。
この記事が役に立ったらシェア!
これは広告です

ネットショップ担当者フォーラムを応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[ゴールドスポンサー]
ecbeing.
[スポンサー]