GMOペイメントゲートウェイが3月10日、第三者による不正アクセスにより、クレジットカードの番号や有効期限などを含む71万9830件の情報が流出した可能性があると発表した。

不正アクセスがあったのは、東京都の都税クレジットカード支払いサイトと、住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイト。「Apache Struts2」の脆弱性を悪用した不正アクセスが発生し、悪意のあるプログラムが仕込まれていたことが判明した。調査の結果、クレジットカード番号やクレジットカードの有効期限、メールアドレスなどの情報が流出した可能性があることが分かった。

GMOペイメントゲートウェイに不正アクセス

不正アクセスされた可能性がある情報と件数は以下の通り。

東京都 都税クレジットカードお支払サイト（総件数 67万6290件） 情報の内容 件数 クレジットカード番号、クレジットカード有効期限 6万1661件 クレジットカード番号、クレジットカード有効期限、メールアドレス 61万4629件

住宅金融支援機構様 団信特約料クレジットカード払い （4万3540件） 情報の内容 件数 クレジットカード番号、クレジットカード有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日 622件 クレジットカード番号、クレジットカード有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日、メールアドレス、加入月 2万7661件 クレジットカード番号、クレジットカード有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日、メールアドレス 5569件 クレジットカード番号、クレジットカード有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日、加入月 9688件

なお現時点では、該当2サイト以外のサービスでは、同様の問題は発生していないことを確認しているという。

不正アクセスの痕跡を確認したのは、3月9日の深夜。3月9日にIPAが発表した「Apache Struts2 の脆弱性対策について（CVE-2017-5638）（S2-045）」ならびにJPCERTの「Apache Struts 2の脆弱性 （S2-045） に関する注意喚起」の情報に基づき、同日18時からGMOペイメントゲートウェイのシステムへの影響調査を行った結果判明した。Apache Struts 2の脆弱性対策はすでに実施済みだという。

クレジットカード情報が流出した対象者には、対象クレジットカード会社と協議の上、対応を進める。また、再発防止策を検討するため、セキュリティ専門会社によるシステム調査を開始したという。並行して警察への捜査協力も行う。

東京都 都税クレジットカードお支払サイトを利用したユーザーの問い合わせ先は 0120-180-600、住宅金融支援機構の団信特約料クレジットカード払いを利用したユーザーの問い合わせ先は 0120-151-725。

Copyright © ITmedia, Inc. All Rights Reserved.