ニュース

Apache Struts 2の脆弱性を突かれて不正アクセス、都税支払いサイトなどからクレジットカード情報72万件が流出した可能性

 GMOペイメントゲートウェイ株式会社(GMO-PG)は10日、同社が運営受託している東京都税クレジットカード支払いサイトおよび独立行政法人住宅金融支援機構の団体信用生命保険特約料のクレジットカード支払いサイトに不正アクセスがあり、利用者のクレジットカード番号・有効期限など合計72万件近くの情報が流出した可能性があると発表した。アプリケーションフレームワーク「Apache Struts 2」の脆弱性「CVE-2017-5638/S2-045」を突かれたもの。

 流出した可能性のある情報は、東京都税クレジットカード支払いサイトで延べ67万6290件、住宅金融支援機構のクレジットカード支払いサイトで延べ4万3540件。GMO-PGでは現在、同一カードで複数回納付した利用者を特定し、重複を除いた実際に流出した可能性のあった件数を精査中。

 GMO-PGによると、いずれもクレジットカード番号は暗号化処理された状態だったという。一方、住宅金融支援機構のサイトにおいては、クレジットカード番号・有効期限のほか、セキュリティコード、住所、氏名、電話番号、生年月日なども含まれている。セキュリティコードの情報は、カード業界のセキュリティ標準であるPCI DSSによりシステムで保持してはならないことになっているが、今回の不正アクセス被害で調査するまで、セキュリティコードを保持していることをGMO-PGでは認識していなかったとしている。

 決済代行システムを提供するGMO-PGでは、このほかにも国税のクレジットカード支払いサイトなども運営しているが、上記2サイト以外では、CVE-2017-5638/S2-045の脆弱性を突かれて不正アクセスを受け、情報が流出した可能性のあるサイトはないことが、調査の結果、確認されているという。

 CVE-2017-5638/S2-045の脆弱性については、脆弱性を修正したバージョン「2.3.32」および「2.5.10.1」がリリース済みだが、これを狙った攻撃が3月7日ごろから急増していることがセキュリティベンダー各社から報告されていた。これを受けてGMO-PGが9日、この脆弱性の対象となる同社のシステムの洗い出しを行ったところ、上記2サイトに悪意あるプログラムが仕掛けられ、第三者に不正にデータを取得された可能性が高いことが判明した。詳細はフォレンジック調査中だが、日本時間の8日未明に不正アクセスされた痕跡が確認されており、その時点でプログラムが仕掛けられたとみられる。

 なお、今回の件との関連性は不明だが、「あなたのクレジットカード情報が流出しました。至急対策する必要があるのでクレジットカード番号やセキュリティコードを教えてください」という電話があったとの情報が入っているという。GMO-PGでは、クレジットカード会社や政府機関、行政などからそのような問い合わせをすることはないとして、絶対に情報を伝えないよう注意を呼び掛けている。