GMOペイメントゲイトウェイは、不正アクセスによる情報漏洩した事件で、「都税クレジットカードお支払サイト」「団体信用生命保険特約料クレジットカード支払いサイト」への不正アクセスにつき、セキュリティ専門会社及び弊社調査の結果、不正に取得された情報数が以下のとおり確定したと発表しました。
「都税クレジットカードお支払サイト」
・クレジットカード番号・有効期限:364,181
・メールアドレス:362,049「団体信用生命保険特約料クレジットカード支払いサイト」
・クレジットカード番号・有効期限:40,872
・セキュリティコード(※):31,124
・メールアドレス(※):28,552
・住所:39,085
・電話番号:37,380
・氏名・生年月日:36,377
(※)セキュリティコード及びメールアドレスは、「団体信用生命保険特約料クレジットカード支払いサイト」によりクレジットカード払いの申込みを行ったお客様が対象となります。紙面による申込みにはセキュリティコード及びメールアドレスは不要なため、クレジットカード番号の数に比べて少なくなっています。当初発表しておりました件数から今回、件数が減少した理由は当初発表した件数は重複した情報(同一カードで複数回支払いをされたお客様等)を含む最大値であり、その重複分を除いたためとのことです。
本件はIPA独立行政法人情報処理推進機構様の「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」(※1)ならびにJPCERT様の「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」(※2)の情報に基づき、同社システムへの影響調査を開始したことから不正アクセスを受けていたことが発覚しました。
唯一幸いなことは、外部からの指摘ではなく、自主的に調査し発見したところは評価に値します。これだけでも技術を提供する企業としての信用・信頼は保つことが可能です。自前でWebサイトを構築することは難しいとは思いますが外部に依頼する場合でも、その会社がきちんとこういって脆弱性情報などに敏感に対応している企業かどうかは管理監督者として注意しておきましょう。
PARTNER
