Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

GMO-PGが情報流出で調査報告 - 「脱Struts宣言」するも再構築まで至らず

都税支払いサイトや住宅金融支援機構の関連サイトが不正アクセスを受け、情報流出が発生した問題で、両サイトを運営、管理していたGMOペイメントゲートウェイは、調査結果や再発防止策を発表した。2016年に「脱Struts宣言」をしたものの再構築には至らず、今回の脆弱性の影響を受けたという。

同問題は、都税をクレジットカードで払うことができる「都税クレジットカードお支払サイト」と、住宅金融支援機構の団体信用生命保険特約制度における特約料のクレジットカード支払いサイトが、「Apache Struts 2」の脆弱性を突かれ、攻撃者によってバックドアが設置されたもの。クレジットカード情報など個人情報が外部に流出した。

同サイトの運営管理を受託していたGMOペイメントゲートウェイでは問題発覚後、外部の専門家を含む再発防止委員会を3月14日に設置。調査や再発防止策について検討し、調査報告書として取りまとめた。公開時点でクレジットカードの不正利用は確認されていないとしている。

脆弱性は3月6日に公表されたが、報告書によれば、同社が攻撃を受けたのは同月8日5時前。一方、同社が外部の情報提供サービスよりメールで最初に報告を受けたのが同日15時半前だった。またメールに危険度など示されておらず、実際にセキュリティ担当者が脆弱性を把握したのは翌9日18時と、対応に遅れがあったという。

(Security NEXT - 2017/05/02 ) このエントリーをはてなブックマークに追加

PR

関連記事

GMO-PG、多要素認証による本人確認サービスを開始
銀行のサイバーセキュリティに特化したパッケージ - イエラエ
水道利用者のクレカ情報含む書類が所在不明 - 札幌市水道局
複数のEC-CUBE向け決済モジュールに脆弱性 - 特定URLアクセスでコード実行のおそれ
2017年の個人情報漏洩は386件、想定損害賠償額は1914億円 - JNSAまとめ
不正アクセス被害の住宅金融支援機構関連サイト、約3カ月ぶりに再開
GMO-PG、役員3名を減俸処分 - 「不正アクセスはセキュリティマネジメント体制に起因」
都税クレカ払いサイトが4月24日より再開 - 都「安全性を確認」
GMO-PG、情報流出で重複分除く件数を公表 - クレカ不正利用は未確認
GMOになりすました「SMS」に注意 - カード情報漏洩に便乗する電話も