ITmedia NEWS > ネットの話題 >
セキュリティ・ホットトピックス

情報流出で停止していた「都税カード払いサイト」再開 「.tokyo」から「.lg.jp」に移行

» 2017年04月25日 16時48分 公開
[岡田有花ITmedia]

 東京都主税局は4月24日、情報流出で停止していた都税のクレジットカード納付サイト「都税クレジットカードお支払サイト」を再開したと発表した。サイトのURLは、「https://zei.tokyo/」から、地方公共団体のみが使用できる「.lg」ドメインを使った「https://zei.metro.tokyo.lg.jp/」に変更した。

画像 再開したサイト。太字で「公式」を主張している

 都税クレジットカードお支払サイトは、都から委託を受けたトヨタファイナンスとGMOペイメントゲートウェイが運営するサイト。

 アプリケーションフレームワーク「Apache Struts 2」の脆弱性を悪用したサイバー攻撃を受け、ユーザーのクレジットカード番号などが流出した可能性があるとし、3月10日からサービスを停止していた。

 4月24日に再開したサイトでは、システムを変更し、サーバ監視体制を強化したほか、カード情報やメールアドレスはサーバ内に保持しないなど仕様を変更。サイトの運用基準も見直し、危機管理体制を強化したという。

 以前のサイトのURLは「https://zei.tokyo/」だったが、「.tokyoのように誰でも取れるドメインを使うと、似たURLのフィッシングサイトを作られかねない。地方公共団体のみが利用できる.lg.jpに移行すべき」との指摘があった。

画像 FAQより

 新サイトのURLは「https://zei.metro.tokyo.lg.jp/」になっており、「より多くの方に安心してご利用いただけるよう、地方公共団体以外は使用できないlg.jpドメイン名を使用したURLに変更した」とFAQで説明。アクセスするとWebブラウザには緑色の文字で「東京都」と表示され、東京都のEV SSL証明書を使っているようだ。

 ただ、サイトの運営は都から指定を受けたトヨタファイナンスが行っていると記載されており、ネット上では、「地方公共団体のドメインとEV SSL証明書を外部の一般企業が利用するのは不適切では」という指摘も上がっている。

Copyright © ITmedia, Inc. All Rights Reserved.