Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

GMO-PGが情報流出で調査報告 - 「脱Struts宣言」するも再構築まで至らず

都税支払いサイトや住宅金融支援機構の関連サイトが不正アクセスを受け、情報流出が発生した問題で、両サイトを運営、管理していたGMOペイメントゲートウェイは、調査結果や再発防止策を発表した。2016年に「脱Struts宣言」をしたものの再構築には至らず、今回の脆弱性の影響を受けたという。

同問題は、都税をクレジットカードで払うことができる「都税クレジットカードお支払サイト」と、住宅金融支援機構の団体信用生命保険特約制度における特約料のクレジットカード支払いサイトが、「Apache Struts 2」の脆弱性を突かれ、攻撃者によってバックドアが設置されたもの。クレジットカード情報など個人情報が外部に流出した。

同サイトの運営管理を受託していたGMOペイメントゲートウェイでは問題発覚後、外部の専門家を含む再発防止委員会を3月14日に設置。調査や再発防止策について検討し、調査報告書として取りまとめた。公開時点でクレジットカードの不正利用は確認されていないとしている。

脆弱性は3月6日に公表されたが、報告書によれば、同社が攻撃を受けたのは同月8日5時前。一方、同社が外部の情報提供サービスよりメールで最初に報告を受けたのが同日15時半前だった。またメールに危険度など示されておらず、実際にセキュリティ担当者が脆弱性を把握したのは翌9日18時と、対応に遅れがあったという。

(Security NEXT - 2017/05/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

GMO-PG、役員3名を減俸処分 - 「不正アクセスはセキュリティマネジメント体制に起因」
都税クレカ払いサイトが4月24日より再開 - 都「安全性を確認」
GMO-PG、情報流出で重複分除く件数を公表 - クレカ不正利用は未確認
GMOになりすました「SMS」に注意 - カード情報漏洩に便乗する電話も
フォレンジック調査で個人情報流出が確定 - GMO-PG
不正アクセスによる個人情報漏洩でGMO-PGに報告を要請 - 経産省
不正アクセスによる流出件数について精査 - GMO-PG
住宅金融支援機構の関連サイトでクレカなど個人情報が流出 - セキュリティコードも
都税支払サイトからクレカ情報67.6万件が流出か - 「Apache Struts 2」の脆弱性突かれる
決済サービス事業者による「EC決済協議会」が発足 - 「セキュリティ」「不正利用対策」の情報を共有