GMOペイメントゲートウェイに不正アクセス クレジットカード情報など約72万件が流出した可能性 (ITmedia エンタープライズ) - Yahoo!ニュース
GMOペイメントゲートウェイにStruts2の脆弱性を悪用されて情報漏洩の可能性。72万件が流出した可能性とのこと。
色々なお話が出ていますが、セキュリティコードが600件超漏えいということで、PCI-DSSな観点での問題も指摘されている。
不正アクセスがあったのは、東京都の都税クレジットカード支払いサイトと、住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイト。「Apache Struts2」の脆弱性を悪用した不正アクセスが発生し、悪意のあるプログラムが仕込まれていたことが判明した。調査の結果、クレジットカード番号やクレジットカードの有効期限、メールアドレスなどの情報が流出した可能性があることが分かった。
不正アクセスされた可能性がある情報と件数は以下の通り。
・東京都 都税クレジットカードお支払いサイト:67万6290件
・住宅金融支援機構 団信特約料クレジットカード払い:4万3540件なお現時点では、該当2サイト以外のサービスでは、同様の問題は発生していないことを確認しているという。
不正アクセスの痕跡を確認したのは、3月9日の深夜。3月9日にIPAが発表した「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」ならびにJPCERTの「Apache Struts 2の脆弱性 (S2-045) に関する注意喚起」の情報に基づき、同日18時からGMOペイメントゲートウェイのシステムへの影響調査を行った結果判明した。Apache Struts 2の脆弱性対策はすでに実施済みだという。
http://headlines.yahoo.co.jp/hl?a=20170310-00000117-zdn_ep-sci
関連URL
- 高木浩光@自宅の日記 - 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか
- ご報告 | GMOペイメントゲートウェイ株式会社
- Struts2の脆弱性 CVE-2017-5638 (S2-045)についてまとめてみた - piyolog
- GMOペイメントゲートウェイに不正アクセス クレジットカード情報など約72万件が流出した可能性 - ITmedia エンタープライズ
- Apache Struts 2に深刻な脆弱性、既に攻撃が横行 直ちに更新を - ITmedia エンタープライズ
- TrendLabs Security Intelligence BlogCVE-2017-5638: Apache Struts 2 Vulnerability Leads to Remote Code Execution - TrendLabs Security Intelligence Blog
- GMOペイメントゲートウェイに不正アクセス クレジットカード情報など約72万件が流出した可能性 - ITmedia エンタープライズ
- セキュリティホール memo
- JVNVU#93610402: Apache Struts2 に任意のコードが実行可能な脆弱性
- 2017年3月10日のtwitterセキュリティクラスタ – twitterセキュリティネタまとめ
- Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か | スラド オープンソース
- 都税サイトなどで最大72万件のカード情報流出か--受託したGMO子会社が発表 - CNET Japan
- 2017年3月に発生したApache Struts 2で稼働していたとみられるWebサイトへの不正アクセスについてまとめてみた - piyolog
- GMO子会社のクレカ情報漏えい事件、“褒められる対応”を考えた (1/2) - ITmedia エンタープライズ
- ニュース解説 - GMO72万件流出危機の原因、Struts2に「意のままに操られる」深刻な脆弱性:ITpro