GMOペイメントゲートウェイ(株)は1日、同社が受託運営していた東京都の都税クレジットカード支払いサイトと(独)住宅金融支援機構の保険特約料支払いサイトで、不正アクセスにより個人情報が流出した問題で、再発防止委員会による「不正アクセスによる情報流出に関する調査報告書」を公表した。
「脱Struts宣言」も不発に
同報告書では、GMO-PGはクレジットカード情報を取り扱う事業者に要求される一定レベルの情報セキュリティ体制を構築していたが、アプリケーションフレームワーク「Apache Struts2」(AS2)の脆弱性を突いた攻撃に対しては奏功しなかった、とまとめている。GMO-PGは2016年4月からAS2の使用を停止する「脱Struts宣言」を実施し、以降の新規システムにはAS2が使用されていない。ただ、顧客の業務に影響が大きい既存の一部システムは、アップデートでの対応に留まり、その間に攻撃を受けてしまった。
初動までの時系列対応では、3月6日にAS2開発元の「US Apache Site」で脆弱性が公表され、セキュリティレベルは「High」に位置付けられていたが、GMO-PGのセキュリティ担当者は把握していなかった。
攻撃を受ける当日の3月8日15時25分には、外部のセキュリティ情報提供サービスから、脆弱性情報を担当者がメールで受信したが、担当者は内容を確認せず、脆弱性情報の重要性を即座に認識できなかった。16時51分に都税支払いサイトへの攻撃が始まり、17時40分に同サイトのデータベースに不正アクセスが開始された。18時20分に担当者がアプリケーションの例外の発生を検知し、不正アクセスと判断して攻撃元のIPを遮断した。
不正アクセスの1時間26分前に脆弱性情報のメールを受信
攻撃を受ける1時間26分前に、担当者が脆弱性情報のメールを受け取っていたが、この情報には危険度の記載がなく、AS2開発元の脆弱性情報の公表から2日遅れだった。しかし、報告書では、AS2を使用する場合、GMO-PGは開発元の情報を収集し、自社内でセキュリティ対策を行うべきだった、としている。
今回の件で不正取得されたクレジットカード情報での不正利用は、現在でも確認されていないという。また、GMO-PGは再発防止委員会で決定した再発防止策に基づき、短期での技術的な防止策、セキュリテイインシデント対策、システム開発に関する短期的対策を実施した。サイトの再開に向けては、Payment Card Forensics(株)によるクレジットカードの国際統一基準「PCI DSS」の査定を受け、PCI DSS要件を満たした。
経営責任としては、相浦一成社長ら取締役の月次報酬の30%を3カ月間減額するなどの処分を行うことを決定した。
▽関連記事