　東京都主税局は4月24日、情報流出で停止していた都税のクレジットカード納付サイト「都税クレジットカードお支払サイト」を再開したと発表した。サイトのURLは、「https://zei.tokyo/」から、地方公共団体のみが使用できる「.lg」ドメインを使った「https://zei.metro.tokyo.lg.jp/」に変更した。

再開したサイト。太字で「公式」を主張している

　都税クレジットカードお支払サイトは、都から委託を受けたトヨタファイナンスとGMOペイメントゲートウェイが運営するサイト。

　アプリケーションフレームワーク「Apache Struts 2」の脆弱性を悪用したサイバー攻撃を受け、ユーザーのクレジットカード番号などが流出した可能性があるとし、3月10日からサービスを停止していた。

　4月24日に再開したサイトでは、システムを変更し、サーバ監視体制を強化したほか、カード情報やメールアドレスはサーバ内に保持しないなど仕様を変更。サイトの運用基準も見直し、危機管理体制を強化したという。

　以前のサイトのURLは「https://zei.tokyo/」だったが、「.tokyoのように誰でも取れるドメインを使うと、似たURLのフィッシングサイトを作られかねない。地方公共団体のみが利用できる.lg.jpに移行すべき」との指摘があった。

FAQより

　新サイトのURLは「https://zei.metro.tokyo.lg.jp/」になっており、「より多くの方に安心してご利用いただけるよう、地方公共団体以外は使用できないlg.jpドメイン名を使用したURLに変更した」とFAQで説明。アクセスするとWebブラウザには緑色の文字で「東京都」と表示され、東京都のEV SSL証明書を使っているようだ。

　ただ、サイトの運営は都から指定を受けたトヨタファイナンスが行っていると記載されており、ネット上では、「地方公共団体のドメインとEV SSL証明書を外部の一般企業が利用するのは不適切では」という指摘も上がっている。

都税支払いサイトからカード情報6万件超が流出か
東京都の都税支払いサイトと、住宅金融支援機構の団体信用生命保険特約料支払いサイトに不正アクセスがあり、クレジットカード番号などが流出した可能性。
Struts 2の脆弱性悪用　総務省サイトから個人情報2万件超流出のおそれ
Struts 2の脆弱性を悪用した不正アクセス被害がまた判明した。
「JINS」に不正アクセス　個人情報75万件流出の可能性　Struts 2の脆弱性悪用
「Apache Struts 2」の脆弱性を悪用した不正アクセス事件がまた。
Apache Struts 2に深刻な脆弱性、既に攻撃が横行　直ちに更新を
この脆弱性は簡単に悪用でき、既に攻撃が横行しているとの情報もあることから、Apache Struts 2を直ちにバージョン2.3.32または2.5.10.1に更新して、脆弱性に対処するよう呼び掛けている。
国際郵便サイトに不正アクセス　送り状など流出か
日本郵便の「国際郵便マイページサービス」サイトに不正アクセスがあり、送り状データなどが流出した可能性。