東京都は3月に不正アクセスが原因でクレジットカード情報など情報漏洩が発覚した「都税クレジットカードお支払サイト」を長らく利用停止としていましたが、安全性が確認できたということで同サイトを4月24日9時より再開すると発表しました。
都によると都税のクレジットカード納付を行うために、受託事業者が運営している「都税クレジットカードお支払サイト」について、外部からの不正アクセスにより、平成29年3月10日よりサイトの利用を停止し、詳細調査や対応策の検討に取り組んでまいりました、とし、「受託事業者においてセキュリティ対策の強化、再発防止策を講じたことから、東京都は、安全性を確認し、サイトを再開することといたしました」ということです。
【再開日次】
平成29年4月24日(月曜)午前9時00分
【行った対策】
•ソフトウェアの脆弱性について修正を行うとともに、サイト全体の安全性を総点検し、システム変更やサーバ監視体制の強化
•カード情報やメールアドレスは、サーバ内に保持しない等の措置
•サイトの運用面においては、運用基準を見直し、危機管理体制を強化問題となった不正アクセスは、同サイトにおいてウェブアプリケーションフレームワーク「Apache Struts 2」の脆弱性が攻撃者に突かれ、3月10日よりサービスを停止し対応を進めていました。
この脆弱性はIPAやJPCERTなどから相次いで発表され、同フレームワークを使用していた業者が自主的に調査した結果、情報漏洩の恐れが発見されました。利用していたのが東京都のサービスだったことで非常に規模の大きなインシデントとなってしまいましたが、外部からの指摘ではなく、内部から自主的に発見、対応したことには評価に値すると思います。
Webサイトを運営している企業の多くは、制作や運営を外部に委託していますが業者が自ら脆弱性を点検するとは限りません。運営側にも管理監督責任がありますので日ごろから委託業者にはセキュリティについてはしっかり対応してもらうようにお願いしましょう。
詳細;東京都