決済代行サービスなどを手がけるGMOペイメントゲートウェイは3月10日、同社が受託している東京都の「都税クレジットカードお支払いサイト」および、独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者の不正アクセスにより情報流出を確認したと発表した。
流出した可能性のある情報は、都税クレジットカードお支払サイトで、クレジットカード番号・有効期限を含めたものが6万1661件、これにメールアドレスを加えたものが61万4629件。住宅金融支援機構では、クレジットカード番号・有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日を含めた情報が622件、これにメールアドレスを加えたものが5569件、加入月を加えたものが9688件、メールアドレス・加入月ともに含まれたものが2万7661件と、合計で71万9830件におよぶ。
情報流出の原因として、同社ではアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用した不正アクセスを挙げている。3月9日に独立行政法人情報処理推進機構(IPA)とJPCERTの注意喚起にもとづき社内システムを調査したところ、不正アクセスの痕跡を確認したという。その後、Struts2が稼働しているシステムを全停止し、ネットワークに未接続だったバックアップシステムに切り替えた。調査の結果、上記2サイトでの不正アクセスを確認し、3月10日に東京都と住宅金融支援機構に報告したとしている。
なお、現時点では2サイト以外のGMOペイメントゲートウェイのサービスには影響は見られないとしている。カード情報が流出したとみられるユーザーには、対象クレジットカード会社と協議し、対応を進めるという。また、再発防止としてセキュリティ専門外者によるシステム調査を開始。並行して、警察への捜査協力を実施するという。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」