GMOペイメントゲートウェイは3月10日、同社が受託運営する東京都税のクレジットカード支払いサイトと住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトで、不正アクセスによる情報流出が発生した可能性があると発表した。不正アクセスはApache Struts 2の脆弱性を悪用されたためだとしている。
同社によると、流出の可能性がある情報は、都税支払いサイト側がクレジットカード番号と有効期限、メールアドレス、団体信用生命保険特約料クレジットカード支払いサイト側がクレジットカード番号と有効期限、セキュリティコード、カード支払い申込日、住所、氏名、電話番号、生年月日、メールアドレス、加入月となる。流出規模は前者が最大67万6290件、後者が4万3540件と見積もっている。
流出の可能性は、同社が3月9日夕刻にApache Struts 2の脆弱性の影響を調査したところ発覚した。同日午後10時前に、ウェブアプリケーションファイアウォール(WAF)で不正パターンによるアクセス遮断を実施し、同11時53分に不正アクセスの痕跡を確認したことから、Apache Struts 2を使用している全システムを停止させた。
翌10日朝までに不正アクセスされたサイトや情報の内容、件数などを確認し、都税支払いサイトの運営を同社に委託しているトヨタファイナンスと住宅金融支援機構に状況を報告。同日中に顧客対応とセキュリティ会社による調査を開始した。
都税支払いサイトは、トヨタファイナンスが東京都から収納代行業務の指定を受け、ウェブサイトの運営をGMOペイメントゲートウェイに委託していた。トヨタファイナンスは国税庁や他の自治体からも収納代行業務の指定を受けているが、都税支払いサイト以外では同様の問題が発生していないと説明している。
また住宅金融支援機構は、10日時点で情報悪用などの報告は無いとし、団体信用生命保険特約制度の「クレジットカード払い」の申し込み受付を一時的に休止中。GMOペイメントゲートウェイに対し、詳細な事実関係の調査と報告、セキュリティ対策の強化を求めているとした。
不正アクセスの原因とされるApache Struts 2の脆弱性「CVE-2017-5638」は6日に情報が公開され、情報処理推進機構などが脆弱性を悪用する攻撃への注意を呼び掛けていた。セキュリティサービス会社のラックによれば、7日頃から脆弱性の悪用を狙った攻撃が国内で観測され、9日頃からは非常に重大な被害につながる恐れのある攻撃を検知したと報告。同社がセキュリティ監視を受託している企業で被害やインシデントが発生しているとして、注意を呼び掛けていた。
情報流出の可能性を明らかにしているGMOペイメントゲートウェイ
