Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行セキュリティクラスタ まとめのまとめ 2017年3月版(2/4 ページ)

» 2017年04月13日 05時00分 公開

被害に遭った謎の都税支払いサイト

 被害に遭った企業がたくさんあった「S2-045」、中でも特に2つのサイトに関心が集まっていました。1つは「東京都税 クレジットカードお支払サイト」、1月に運営組織がよく分からないと話題となっていたサイトです。

 GMOペイメントゲートウェイが運営する「東京都税 クレジットカードお支払サイト」と「団体信用生命保険特約料クレジットカード支払いサイト」は「S2-045」が公開されて早々に攻撃を受け、クレジットカード情報など個人情報72万件が流出した可能性があるということです。

参考リンク

「事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについて」(http://www.jhf.go.jp/topics/topics_20170310_im.html

 もともと1月に話題になったことに加え、最初に大きな被害が報告されたということ、それに加えて流出した内容が都税の支払いを行った方の個人情報、さらにセキュリティコードまで盗まれてしまったこと、これが注目を集めた理由のようです。

 クレジットカードを取り扱う業者が準拠すべきものとしてPCI DSS(Payment Card Industry Data Security Standard)というルールがあります。これによるとセキュリティコードは保存してはいけないもの。税金を扱うサイトなのにルールに違反していたのではないかと疑問を持たれていました。一方で、保存していたのではなく、ログが盗まれてそこにセキュリティコードが記載されていたのではないかという意見もありました。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。