「都税クレジットカードお支払サイト」不正アクセスを受け情報漏洩

東京都が運営する「都税クレジットカードお支払サイト」が不正アクセスを受け情報漏洩したことがわかりました。漏洩した数は67万件に上るとのことです。同サイトはシステムを都税収納代行業務の指定代理納付者であるトヨタファイナンスが一時受けとなり、同社の再委託により、実際はGMOペイメントゲートウェイがサイトを運営していました。

【経緯】

・3月6日に「Apache Struts 2」に脆弱性「CVE-2017-5638」が独立行政法人情報処理推進機構（IPA）により注意喚起されたことを受けGMOペイメントゲートウェイのシステム担当者が社内システムの点検を行ったところ同サイト上に悪意あるプログラムが設置され、何度か不正アクセスされている痕跡を発見したとのことです。

3月9日

18:00　「Apache Struts 2」に脆弱性「CVE-2017-5638」が独立行政法人情報処理推進機構（IPA）により注意喚起されたことを受け社にシステムを点検

20:00　当該システムの洗い出しが完了。対策の検討を開始

21:56　該当する不正アクセスの遮断を開始

23:53　不正アクセスの痕跡を確認し。「Apache Struts 2」が稼働しているシステムを全停止。ネットワーク未接続のバックアップシステムに切替

3月10日

調査の結果、漏洩した情報の確認。サイト運営会社に報告し対応を協議

【漏洩した情報】

・東京都都税クレジットお支払いサイトを利用したユーザーのカード番号・クレジットカード有効期限　616,661件

・メールアドレス　614,629件

・独立行政法人住宅金融支援機構　団信特約料クレジットカード払いを利用したユーザーのカード番号・カード有効期限・セキュリティコード・住所・指名・電話・生年月日　622件　

・メールアドレス・加入日　27,661件