GMOペイメントゲートウェイに不正アクセス クレジットカード情報など約72万件が流出した可能性
GMOペイメントゲートウェイが提供する決済サービスに不正アクセスがあり、東京都の都税クレジットカードお支払いサイトと、住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトから、クレジットカードなどの情報約72万件が流出した可能性がある。
GMOペイメントゲートウェイが3月10日、第三者による不正アクセスにより、クレジットカードの番号や有効期限などを含む71万9830件の情報が流出した可能性があると発表した。
不正アクセスがあったのは、東京都の都税クレジットカード支払いサイトと、住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイト。「Apache Struts2」の脆弱性を悪用した不正アクセスが発生し、悪意のあるプログラムが仕込まれていたことが判明した。調査の結果、クレジットカード番号やクレジットカードの有効期限、メールアドレスなどの情報が流出した可能性があることが分かった。
不正アクセスされた可能性がある情報と件数は以下の通り。
情報の内容 | 件数 |
---|---|
クレジットカード番号、クレジットカード有効期限 | 6万1661件 |
クレジットカード番号、クレジットカード有効期限、メールアドレス | 61万4629件 |
情報の内容 | 件数 |
---|---|
クレジットカード番号、クレジットカード有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日 | 622件 |
クレジットカード番号、クレジットカード有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日、メールアドレス、加入月 | 2万7661件 |
クレジットカード番号、クレジットカード有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日、メールアドレス | 5569件 |
クレジットカード番号、クレジットカード有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日、加入月 | 9688件 |
なお現時点では、該当2サイト以外のサービスでは、同様の問題は発生していないことを確認しているという。
不正アクセスの痕跡を確認したのは、3月9日の深夜。3月9日にIPAが発表した「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」ならびにJPCERTの「Apache Struts 2の脆弱性 (S2-045) に関する注意喚起」の情報に基づき、同日18時からGMOペイメントゲートウェイのシステムへの影響調査を行った結果判明した。Apache Struts 2の脆弱性対策はすでに実施済みだという。
クレジットカード情報が流出した対象者には、対象クレジットカード会社と協議の上、対応を進める。また、再発防止策を検討するため、セキュリティ専門会社によるシステム調査を開始したという。並行して警察への捜査協力も行う。
東京都 都税クレジットカードお支払サイトを利用したユーザーの問い合わせ先は 0120-180-600、住宅金融支援機構の団信特約料クレジットカード払いを利用したユーザーの問い合わせ先は 0120-151-725。
関連記事
- GMO子会社のクレカ情報漏えい事件、“褒められる対応”を考えた
約70万件の情報が漏えいしたとみられるGMOペイメントゲートウェイの不正アクセス事件。100%情報漏えい事故を防ぐことはできない時代、事件を起こした企業がすべき“褒められる対応”を考えてみました。 - ぬいぐるみから80万人のユーザー情報が流出、つながる玩具に警鐘
「ほかにも多数のつながる玩具に深刻な脆弱性が存在しているのは間違いない。メーカーや保護者の知らないうちに不正アクセスされ、データが盗まれているかもしれない」と研究者は警鐘を鳴らしている。 - 資生堂子会社に不正アクセス、個人情報42万人分が流出か
大手化粧品メーカー、資生堂の子会社「イプサ」の公式オンラインショップに、不正アクセスがあったことが発覚。最大で約42万人分の個人情報と、約5万件のクレジットカード情報が流出した可能性がある。 - 住宅ローン「フラット35」の顧客情報流出か、役職員のメールに不正な転送設定
住宅金融支援機構から業務委託を受けている優良住宅ローンは、不正アクセスで3万7247人分の個人情報が漏えいした可能性を発表した。メールサーバの設定が不正に変更されていたという。 - 東急ハンズで不正アクセスによる情報漏えい、外部通報で発覚
不正アクセスによる個人情報流出の疑いがクレジットカード会社からの通報で分かったという。 - パイプドビッツのECサイト基盤から個人情報流出、システムの設定不備でバックドア置かれる
パイプドビッツが運営するアパレル特化型ECプラットフォームへの不正アクセスで、利用者の個人情報が何者かにダウンロードされたことが判明。事態の経緯や原因などについて詳しい説明をしている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.