インプレス ビジネスメディア
Web担トップ » 外部サイト情報 » ネットショップ担当者フォーラム » カード情報など約72万件が漏えいか。決済代行のGPOペイメントゲートウェイ | ネットショップ担当者フォーラム

カード情報など約72万件が漏えいか。決済代行のGPOペイメントゲートウェイ | ネットショップ担当者フォーラム

ネットショップ担当者フォーラム - 2017年3月13日(月) 12:00
このページは、外部サイト ネットショップ担当者フォーラム の情報をRSSフィード経由で取得して表示しているため、記事の一部分しか表示されていなかったり、画像などが正しく表示されなかったり、オリジナル記事が意図したデザインと異なっていたりする場合があります。
完全な状態のオリジナル記事は 「カード情報など約72万件が漏えいか。決済代行のGPOペイメントゲートウェイ」 からご覧ください。

GMOペイメントゲートウェイが運営を受託している2つのサイトが外部から不正アクセスを受け、セキュリティコードを含むカード情報71万9830件が漏えいした可能性があることがわかった。

使用していたアプリケーションワークフレームに外部から悪意あるプログラムが仕込まれたことが原因。

不正アクセスを受けたのは、東京都の「東京都税 クレジットカードお支払いサイト」と独立行政法人住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」の2サイト。

東京都税のサイトからは67万6290件のカード情報(カード番号、有効期限)、住宅金融支援機構のサイトからは4万3540件のカード情報(カード番号、有効期限、セキュリティコード、カード払い申込日、住所、氏名、電話番号、生年月日)が流出した可能性がある。一部顧客のメールアドレスやサービス加入日なども漏洩したとみられる。

3月10日時点で該当2サイト以外について、GMOペイメントゲートウェイのサービスで同様の問題は発生していないとしている。

アプリケーションフレームワークである「Apache Struts2」の脆弱性を突かれた。「Apache Struts」 は、Apache Software Foundationが提供するJavaのウェブアプリケーションを作成するためのソフトウェアフレームワーク。リモートで任意のコードが実行される脆弱性が存在し、第三者によってサーバ上で悪意あるコードを実行された可能性があるという。

3月8日に独立行政法人情報処理推進機構(IPA)が「Apache Struts2」の脆弱性について公表。「Apache Struts2」の脆弱性は、攻撃者が「Apache Struts2」に悪意あるリクエストを送信することで、遠隔からサーバ上にて任意のコードが実行される可能性があるというもの。

GMOペイメントゲートウェイが運営を受託していたサイトが不正アクセスを受けカード情報が漏えい

GMO-PGのトップページにはお詫び文が掲載されている(画像は編集部がキャプチャ)
GMO-PGのセキュリティ対応

GMO-PGは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定したクレジット業界におけるグローバルセキュリティ基準「PCIDSS」に準拠。ほかには、情報セキュリティ管理のグローバル・スタンダード基準とされる第三者認証基準のISMS(情報セキュリティマネジメントシステム)認証基準である国際規格ISO/IEC 27001:2013(国内規格JIS Q 27001:2014)の認証などを取得している。

なお、経済産業省主導の「クレジット取引セキュリティ対策協議会」(事務局は日本クレジット協会)が2017年3月にまとめた「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2017-」では、PSP(Payment Service Provider、決済代行業者)については、「カード会社(イシュアー・アクワイアラー)及びPSPについてはPCIDSS準拠を求めることとする」と規定している。

不正アクセス発覚の経緯

2017年3月9日の午後6時、IPAが公表した「Apache Struts2の脆弱性対策について(CVE-2017-5638)(S2-045)」、および一般社団法人 JPCERTコーディネーションセンター(JPCERT)の「Apache Struts2の脆弱性 (S2-045) に関する注意喚起」の情報に基づき、GMOペイメントゲートウェイのシステムへの影響を調査。3月10日未明に2サイトへの不正アクセスの可能性を確認した。

カード情報が流出した顧客への対応は、クレジットカード会社と協議して進めていく方針。再発防止策を検討するため、3月10日にセキュリティ専門会社によるシステム調査を開始した。警察への捜査協力も行うとしている。

決済代行会社やプラットフォーム提供会社など、EC支援企業による過去の情報漏えい事故では、2011年にASJの決済代行サービス「ASJペイメント」においてクレジットカード利用客のカード情報が漏えい。

また、2016年にはパイプドビッツが提供しているECプラットフォーム「スパイラルEC」や、カゴヤ・ジャパンのデータベースサーバーからカード情報が流出している。

※このコンテンツはWebサイト「ネットショップ担当者フォーラム」で公開されている記事のフィードに含まれているものです。
オリジナル記事:カード情報など約72万件が漏えいか。決済代行のGPOペイメントゲートウェイ
Copyright (C) IMPRESS CORPORATION, an Impress Group company. All rights reserved.

渡部 和章
ライトプロ株式会社 代表取締役

渡部 和章(わたなべ・かずあき)

新聞社で約7年半、記者を務めた後、2015年に編集プロダクションのライトプロを設立して代表に就任。編集者兼ライターとしても活動中。

趣味は料理と漫画を読むこと。東京都在住。1983年生まれ。

メルマガの登録はこちら Web担当者に役立つ情報をサクッとゲット!

人気記事トップ10(過去7日間)

  1. QRコード決済の利用率1位は「PayPay」、クレジットカードでは「○○カード」が圧倒的【1616調べ】
  2. QRコード決済、約2人に1人が「PayPay」を利用。満足度トップは「楽天ペイ」【MMD研究所調べ】
  3. Gmailへのメールが届かなくなる? 2024年6月までにやるべき3つの対応
  4. 25年卒人気企業ランキング、理系は3年連続で「ソニーグループ」「味の素」が1位・2位に。文系は2年連続であの“大手メーカー”がトップ【マイナビ調べ】
  5. 伝わるWebサイトをつくる! ユニバーサルデザインの基本と具体的な改善方法
  6. ブログ下部の関連記事、回遊/内部リンク/トラフィックに思ったより効果あるらしい【SEO情報まとめ】
  7. Googleビジネスプロフィールで効果的な写真30選(後編:商品/サービス・人間/感情のアイデア15)
  8. サントリーのウェブアクセシビリティ改善プロジェクト:適合レベルAA達成と進め方
  9. エキスパートが明かす、有料版「Google アナリティクス4」を使う本当の意義
  10. 日経ビジネス電子版、5年ぶりのリニューアル:3つの”タイム”を軸に編集体制・コンテンツも変更

今日の用語

robots.txt
ロボット型の検索エンジンが自分のページを登録しないようにするためにサイト管理者が ...→用語集へ

インフォメーション

RSSフィード

Web担を応援して支えてくださっている企業さま [各サービス/製品の紹介はこちらから]

[GOLD SPONSOR]
株式会社日本レジストリサービス
[SPONSOR]
株式会社キノトロープSitecore株式会社ミツエーリンクス株式会社電通デジタル株式会社サイズ