音声ブラウザ対応ページへコンテンツエリアへログイン
金融&IT業界の情報サイト
 
 


 
【IT業界ニュース】 >> 記事詳細
< 前の記事へ次の記事へ >

2017/03/13

【GMOペイメントゲートウェイ】不正アクセスに関するご報告と情報流出のお詫び

 | by:ウェブ管理者
不審な電話、メール、手紙、訪問にご注意ください。

「あなたのクレジットカード情報が流出しました。至急対策する必要があるのでクレジットカード番号やセキュリティコードを教えてください」という 電話があったとの情報がございました。 本件との関連性は不明ではありますが、クレジットカード会社や政府機関、行政などからそのようなお問い合わせをすることはありませんので、絶対に 情報をお伝えにならないようご注意ください。

GMOペイメントゲートウェイ株式会社(以下、当社)において運営受託しております東京都様の都税クレジットカードお支払サイトおよび独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。
このような事態を起こし、お客様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。

1.不正アクセスの状況について

アプリケーションフレームワークであるApache Struts2の脆弱性を悪用した不正アクセスが発生し、東京都様の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトに悪意あるプログラムが仕込まれたことが判明し、調査の結果、以下の情報が流出した可能性が判明いたしました。現時点では、該当2サイト以外の弊社サービスにつきましては、同様の問題が発生していないことを確認しております。

2.不正アクセスされた可能性のある情報について

■東京都様 都税クレジットカードお支払いサイトをご利用されたお客様(クレジットカード情報が流出した可能性のある総件数:676,290件)
1 クレジットカード番号・クレジットカード有効期限 61,661件
2 1に加え、メールアドレス 614,629件

■独立行政法人住宅金融支援機構様 団信特約料クレジットカード払いをご利用されたお客様(クレジットカード情報が流出した可能性のある総件数:43,540件)
1 クレジットカード番号・クレジットカード有効期限・セキュリティ
コード・カード払い申込日・住所・氏名・電話番号・生年月日 622件
2 1に加え、メールアドレス・加入月 27,661件
3 1に加え、メールアドレス 5,569件
4 1に加え、加入月 9,688件

3.調査経緯と対策について

■3/9(木)
18:00
IPA独立行政法人情報処理推進機構様の「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」(※1)ならびにJPCERT様の「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」(※2)の情報に基づき、当社システムへの影響調査を開始。
(※1)https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
(※2)https://www.jpcert.or.jp/at/2017/at170009.html

20:00
当社内で当該脆弱の対象となるシステムの洗い出しが完了。対策方法の検討開始。

21:56
WAF(※3)にて該当する不正パターンによるアクセスの遮断を実施。[対策1]
同時に不正アクセスの可能性の調査を開始。
(※3)WAF(Web Application Firewall)Webサイト、およびその上で動作するWebアプリケーションを狙った攻撃を防御するセキュリティ対策システム。

23:53
不正アクセスの痕跡を確認したため「Apache Struts 2」が稼働しているシステムを全停止。ネットワーク未接続状態にあったバックアップシステムに切替を実施。[対策2]

■3/10(金)
00:30
「Apache Struts 2」の脆弱性対策を[対策2]のバックアップシステムに実施。[対策3]
調査の結果、東京都様の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正アクセスを確認。

02:15
東京都様の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正にデータ取得された可能性が高いことを確認。

06:20
不正アクセスされた可能性のある情報の内容と件数を確認。

08:40~
東京都様の都税クレジットカードお支払いサイト運営会社ならびに独立行政法人住宅金融支援機構様へ報告。対策を協議。

4.本件に関する今後の対応について

クレジットカード情報が流出した対象のお客様につきましては、対象クレジットカード会社と協議の上、対応を進めてまいります。また、再発防止策を検討するに当たり、本日よりセキュリティ専門会社によるシステム調査を開始いたしました。なお、並行して警察への捜査協力を行ってまいります。

5.本件に関するお問い合わせ先

■東京都様の都税クレジットカードお支払サイトをご利用されたお客様
専用ダイヤル:0120-180-600(フリーダイヤル)

■独立行政法人住宅金融支援機構様の団信特約料クレジットカード払いをご利用されたお客様
専用ダイヤル:0120-151-725(フリーダイヤル)

お客様ならびに関係者の皆様には、ご心配およびご迷惑をおかけいたしますこと、心よりお詫び申し上げます。


原文はこちら
https://corp.gmo-pg.com/news_em/20170310.html?_ga=1.22852539.1090606501.1477901211
17:00 | IT:一般
< 前の記事へ次の記事へ >一覧へ戻る
 

【免責事項】
サイト掲載情報の正確性、および完全性については最善を尽くしておりますが、その内容を保証するものではございません。また利用者が当サイト、およびサイトに関連するコンテンツ、リンク先サイトにおける一切のサービス等を利用されたことに起因、または関連して生じた一切の損害(間接的、直接的を問わず)について、当社、当サイト、投稿者および情報提供者は一切の責任を負いません。

Copyright © 2010- GoodWay Inc. All rights reserved.

 
 
音声ブラウザ対応ページへコンテンツエリアへログイン