GMOペイメントゲートウェイ 情報流出に関するまとめ(3月14日時点)

ECのミカタ編集部

3月10日(金)、GMOペイメントゲートウェイ株式会社(以下、同社もしくはGMO-PG)は、同社が運営委託する東京都の都税クレジットカードお支払いサイトおよび独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者による不正アクセスが確認され、情報が流出した可能性があることを公表した。この件に関して、3月13日(月)時点で明らかになっている情報と今後の動きについてまとめる。
※3月14日(火)の続報を追記。

不正アクセスの状況

 状況としてはまず、今回該当する2つのサイトにおいて、アプリケーションワークフレームワークであるApache Struts2の脆弱性を悪用した不正アクセスが発生し、東京都の都税クレジットカードお支払いサイトと独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトに悪意あるプログラムが仕込まれたことが判明した。調査の結果、以下の情報が流出した可能性が判明している。

 情報流出の可能性が公表された3月10日時点においては、該当2サイト以外の同社サービスについて、同様の問題が発生していないことが確認されている。

不正アクセスされた可能性のある情報

 以下、3月10日時点に発表された流出件数となる。ただし以下は最大数(延べ数)のため、現在実際に流出可能性のあった件数を精査中とのこと。具体的には、重複したクレジットカード情報(同カードで複数回納付された利用者)を特定している。

■東京都:都税クレジットカードお支払いサイトの利用者
(クレジットカード情報が流出した可能性のある総件数:676,290件)
1. クレジットカード番号・クレジットカード有効期限:61,661件
2. 1に加え、メールアドレス:614,629件

■独立行政法人住宅金融支援機構:団信特約料クレジットカード払いの利用者
(クレジットカード情報が流出した可能性のある総件数:43,540件)
1. クレジットカード番号・クレジットカード有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日:622件
2. 1に加え、メールアドレス・加入月:27,661件
3. 1に加え、メールアドレス:5,569件
4. 1に加え、加入月:9,688件

GMO-PGにおける調査の経緯と対策

 現在に至るまでの、GMO-PGによる調査の経緯と対策は以下の通りだ。

■3/9(木)
18:00
IPA独立行政法人情報処理推進機構の「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」ならびにJPCERTの「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」の情報に基づき、同社システムへの影響調査を開始。


20:00
同社内で当該脆弱の対象となるシステムの洗い出しが完了。対策方法の検討開始。

21:56
WAF(※)にて該当する不正パターンによるアクセスの遮断を実施。[対策1]同時に不正アクセスの可能性の調査を開始。
(※)WAF(Web Application Firewall)Webサイト、およびその上で動作するWebアプリケーションを狙った攻撃を防御するセキュリティ対策システム。

23:53
不正アクセスの痕跡を確認したため「Apache Struts 2」が稼働しているシステムを全停止。ネットワーク未接続状態にあったバックアップシステムに切替を実施。[対策2]

■3/10(金)
00:30
「Apache Struts 2」の脆弱性対策を[対策2]のバックアップシステムに実施。[対策3]調査の結果、東京都の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正アクセスを確認。

02:15
東京都の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正にデータ取得された可能性が高いことを確認。

06:20
不正アクセスされた可能性のある情報の内容と件数を確認。

08:40~
東京都の都税クレジットカードお支払いサイト運営会社ならびに独立行政法人住宅金融支援機構へ報告。対策を協議。

今後の対応

 GMO-PGでは、クレジットカード情報が流出した対象のお客様について、対象クレジットカード会社と協議の上、対応を進めている。また、再発防止策を検討するにあたり、3月10日よりセキュリティ専門会社によるシステム調査(フォレンジック調査)を開始した。並行して警察への捜査協力も行っているとのこと。

 お客様からの問い合わせについては、以下の専用フリーダイヤルを設け、24時間受付中だ。また、利用者に注意してほしいのが、この件に関する不審な電話、メール、手紙、訪問などだ。3月13日時点で、「あなたのクレジットカード情報が流出しました。至急対策する必要があるのでクレジットカード番号やセキュリティコードを教えてください」という電話があったという情報があるが、クレジットカード会社や政府機関、行政などからそのような問い合わせをすることはないとのこと。絶対に情報を伝えないように注意すると共に、何かあればまず以下のフリーダイヤルに問い合わせるようにしてほしい。

■東京都の都税クレジットカードお支払サイトの利用者
専用ダイヤル:0120-180-600(フリーダイヤル)

■独立行政法人住宅金融支援機構の団信特約料クレジットカード払いの利用者
専用ダイヤル:0120-151-725(フリーダイヤル)

情報流出のリスクに、EC事業者はどう備えるべきか

 今回の情報流出の問題は、流出の範囲などいまだ調査中の部分があり、それらが確定次第、具体的な対応も発表されるだろう。被害の心当たりがある利用者は、まずはGMO-PGが公式サイトに案内している上記の専用フリーダイヤルまで問い合わせてほしい。

 ただ、EC事業者にとっても、事業規模の大小を問わず、情報流出のリスクというのは常に潜んでいる。EC利用者が増え続ける中、扱う個人情報の量も増え続けており、一方で、残念ながらその情報を狙う悪意も常に存在しているのだ。

 まずは情報の流出を防ぐための対策を万全に行った上で、万が一情報が流出した際にどう動けば良いのかも、知っておくことが、今の時代にEC事業を営む上で必須と言えるだろう。

こちらのコラムも参考に
弁護士法人Martial Artsの「EC相談室」〜個人情報流出!その時、どうする?〜

続報に関する追記

 3月14日(火)、GMO-PGの臨時取締役会において、今回の情報流出に関する「再発防止委員会」を設置することが決定された。再発防止委員会は、同社の代表取締役社長 相浦 一成氏を委員長として、同社の役員6名を委員とし、外部の専門アドバイザーを含めた構成となっている。再発防止委員回の役割は以下の通りだ。

1. 今回の不正アクセス及び情報流出の可能性に関する、システム面及び運用面の検証。
2. 同社システム全般のセキュリティレベルを向上させるべく、専門家アドバイザーの知見・経験に基づき同社システム開発及び運用を検証、再発防止策の立案。
3. 再発防止策の実施及びモニタリング、継続的な改善及び一層のセキュリティレベルの向上。

ECノウハウ


記者プロフィール

ECのミカタ編集部

ECのミカタ編集部。
素敵なJ-POP流れるオフィスにタイピング音をひたすら響かせる。
日々、EC業界に貢献すべく勉強と努力を惜しまないアツいライターや記者が集う場所。

ECのミカタ編集部 の執筆記事