カード情報など約72万件が漏えいか。決済代行のGMOペイメントゲートウェイ
GMOペイメントゲートウェイが運営を受託している2つのサイトが外部から不正アクセスを受け、セキュリティコードを含むカード情報71万9830件が漏えいした可能性があることがわかった。
使用していたアプリケーションワークフレームに外部から悪意あるプログラムが仕込まれたことが原因。
不正アクセスを受けたのは、東京都の「東京都税 クレジットカードお支払いサイト」と独立行政法人住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」の2サイト。
東京都税のサイトからは67万6290件のカード情報(カード番号、有効期限)、住宅金融支援機構のサイトからは4万3540件のカード情報(カード番号、有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日)が流出した可能性がある。一部顧客のメールアドレスやサービス加入日なども漏洩したとみられる。
3月10日時点で該当2サイト以外について、GMOペイメントゲートウェイのサービスで同様の問題は発生していないとしている。
アプリケーションフレームワークである「Apache Struts2」の脆弱性を突かれた。「Apache Struts」 は、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワーク。リモートで任意のコードが実行される脆弱性が存在し、第三者によってサーバ上で悪意あるコードを実行された可能性があるという。
3月8日に独立行政法人情報処理推進機構(IPA)が「Apache Struts2」の脆弱性について公表。「Apache Struts2」の脆弱性は、攻撃者が「Apache Struts2」に悪意あるリクエストを送信することで、遠隔からサーバ上にて任意のコードが実行される可能性があるというもの。
GMO-PGのセキュリティ対応
GMO-PGは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定したクレジット業界におけるグローバルセキュリティ基準「PCIDSS」に準拠。ほかには、情報セキュリティ管理のグローバル・スタンダード基準とされる第三者認証基準のISMS(情報セキュリティマネジメントシステム)認証基準である国際規格ISO/IEC 27001:2013(国内規格JIS Q 27001:2014)の認証などを取得している。
なお、経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)が2017年3月にまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」では、PSP(Payment Service Provider、決済代行業者)については、「カード会社(イシュアー・アクワイアラー)及びPSPについてはPCIDSS準拠を求めることとする」と規定している。
不正アクセス発覚の経緯
2017年3月9日の午後6時、IPAが公表した「Apache Struts2の脆弱性対策について(CVE-2017-5638)(S2-045)」、および一般社団法人 JPCERTコーディネーションセンター(JPCERT)の「Apache Struts2の脆弱性 (S2-045) に関する注意喚起」の情報に基づき、GMOペイメントゲートウェイのシステムへの影響を調査。3月10日未明に2サイトへの不正アクセスの可能性を確認した。
カード情報が流出した顧客への対応は、クレジットカード会社と協議して進めていく方針。再発防止策を検討するため、3月10日にセキュリティ専門会社によるシステム調査を開始した。警察への捜査協力も行うとしている。
決済代行会社やプラットフォーム提供会社など、EC支援企業による過去の情報漏えい事故では、2011年にASJの決済代行サービス「ASJペイメント」においてクレジットカード利用客のカード情報が漏えい。
また、2016年にはパイプドビッツが提供しているECプラットフォーム「スパイラルEC」では個人情報が、カゴヤ・ジャパンのデータベースサーバーからはカード情報などが流出している。