GMOペイメントゲートウェイ

2017年3月17日 続報

2017年3月17日、独立行政法人住宅金融支援機構様より発表のございました『事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの 不正アクセス及び個人情報流出のおそれについて<続報>』にございますとおり、独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジット カード支払いサイトにおいて流出の可能性がある情報のうち、セキュリティコード及びメールアドレスは、「団信クレジット払い専用サイト」によりクレジットカード払いの申込みを行ったお客様に限り流出した可能性があります。


2017年3月14日 続報

「再発防止委員会」の設置について

平成29年3月10日発表の「不正アクセスに関するご報告と情報流出のお詫び」にてお知らせしましたとおり、当社において運営受託しております東京都の都税クレジットカード支払サイト及び独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。

お客様ならびに関係者の皆様に多大なるご心配とご迷惑をお掛けしておりますこと、心より深くお詫び申しあげます。

当社は、今回の事態を重く受け止め、本件不正アクセスによる情報流出の可能性と当社システム開発及び運用にかかわる課題について全社を挙げて取り組んでおりますが、より一層の高度な対策を実施するべく、今般外部の専門家アドバイザーを含めた「再発防止委員会」を設置することを、平成29年3月14日開催の臨時取締役会において決定いたしましたので、ご報告申しあげます。

1.再発防止委員会の構成(敬称略)

委員長 相浦 一成 代表取締役社長
委員 村松 竜 取締役副社長
委員 礒崎 覚 取締役副社長
委員 久田 雄一 専務取締役
委員 木村 泰彦 取締役
委員 杉山 真一 取締役
委員 吉岡 優 取締役
委員 中村 好伸 中村好伸法律事務所 弁護士
専門家アドバイザー 大井 哲也 TMI総合法律事務所 弁護士
専門家アドバイザー 白井 邦芳 社会情報大学院大学 広報・情報研究科 教授
専門家アドバイザー 大河内 貴之 Payment Card Forensics株式会社 フォレンジック・シニアコンサルタント

2.再発防止委員会の役割

  1. 今回の不正アクセス及び情報流出の可能性に関し、システム面及び運用面の検証を行います。
  2. 当社システム全般のセキュリティレベルを向上させるべく、専門家アドバイザーの知見・経験に基づき当社システム開発及び運用を検証し、再発防止策の立案を行います。
  3. 再発防止策の実施及びモニタリングを行い、継続的な改善及び一層のセキュリティレベルの向上に努めてまいります。

お客様ならびに関係者の皆様には、多大なご心配及びご迷惑をお掛けしておりますこと、改めて心よりお詫び申しあげます。全社を挙げて再発防止に取り組み、お客様の信頼回復に努めてまいります。

以 上


2017年3月13日 続報

不審な電話、メール、手紙、訪問にご注意ください。

「あなたのクレジットカード情報が流出しました。至急対策する必要があるのでクレジットカード番号やセキュリティコードを教えてください」という 電話があったとの情報がございました。 本件との関連性は不明ではありますが、クレジットカード会社や政府機関、行政などからそのようなお問い合わせをすることはありませんので、絶対に 情報をお伝えにならないようご注意ください。


2017年3月12日 続報

・当初発表しておりました流出件数は最大値(延べ数)であったため、現在実際に流出可能性のあった件数を精査中です。具体的には、重複したクレジットカード情報(同一カードで複数回納付されたお客様)を特定しております。

・お客様のお問い合わせは24時間受け付けております。

[注]
独立行政法人住宅金融支援機構様の団信特約料クレジットカード払いをご利用されたお客様
3月20日(月)~3月26日(日)につきましては「午前9時~午後9時」の受付時間に変更となります。

※東京都様の都税クレジットカードお支払サイトをご利用されたお客様:24時間受け付けております。

・3月10日(金)より本件に関し、セキュリティ専門会社によるシステム調査(フォレンジック調査)を開始し、現在も継続中です。


2017年3月10日

お客様各位

GMOペイメントゲートウェイ株式会社

不正アクセスに関するご報告と情報流出のお詫び

GMOペイメントゲートウェイ株式会社(以下、当社)において運営受託しております東京都様の都税クレジットカードお支払サイトおよび独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。
このような事態を起こし、お客様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。

1.不正アクセスの状況について

アプリケーションフレームワークであるApache Struts2の脆弱性を悪用した不正アクセスが発生し、東京都様の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトに悪意あるプログラムが仕込まれたことが判明し、調査の結果、以下の情報が流出した可能性が判明いたしました。現時点では、該当2サイト以外の弊社サービスにつきましては、同様の問題が発生していないことを確認しております。

2.不正アクセスされた可能性のある情報について

■東京都様 都税クレジットカードお支払いサイトをご利用されたお客様(クレジットカード情報が流出した可能性のある総件数:676,290件)

1 クレジットカード番号・クレジットカード有効期限 61,661件
2 1に加え、メールアドレス 614,629件

■独立行政法人住宅金融支援機構様 団信特約料クレジットカード払いをご利用されたお客様(クレジットカード情報が流出した可能性のある総件数:43,540件)

1 クレジットカード番号・クレジットカード有効期限・セキュリティ
コード・カード払い申込日・住所・氏名・電話番号・生年月日
622件
2 1に加え、メールアドレス・加入月 27,661件
3 1に加え、メールアドレス 5,569件
4 1に加え、加入月 9,688件

3.調査経緯と対策について

■3/9(木)
18:00
IPA独立行政法人情報処理推進機構様の「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」(※1)ならびにJPCERT様の「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」(※2)の情報に基づき、当社システムへの影響調査を開始。
(※1)https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
(※2)https://www.jpcert.or.jp/at/2017/at170009.html

20:00
当社内で当該脆弱の対象となるシステムの洗い出しが完了。対策方法の検討開始。

21:56
WAF(※3)にて該当する不正パターンによるアクセスの遮断を実施。[対策1]
同時に不正アクセスの可能性の調査を開始。
(※3)WAF(Web Application Firewall)Webサイト、およびその上で動作するWebアプリケーションを狙った攻撃を防御するセキュリティ対策システム。

23:53
不正アクセスの痕跡を確認したため「Apache Struts 2」が稼働しているシステムを全停止。ネットワーク未接続状態にあったバックアップシステムに切替を実施。[対策2]

■3/10(金)
00:30
「Apache Struts 2」の脆弱性対策を[対策2]のバックアップシステムに実施。[対策3]
調査の結果、東京都様の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正アクセスを確認。

02:15
東京都様の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正にデータ取得された可能性が高いことを確認。

06:20
不正アクセスされた可能性のある情報の内容と件数を確認。

08:40~
東京都様の都税クレジットカードお支払いサイト運営会社ならびに独立行政法人住宅金融支援機構様へ報告。対策を協議。

4.本件に関する今後の対応について

クレジットカード情報が流出した対象のお客様につきましては、対象クレジットカード会社と協議の上、対応を進めてまいります。また、再発防止策を検討するに当たり、本日よりセキュリティ専門会社によるシステム調査を開始いたしました。なお、並行して警察への捜査協力を行ってまいります。

5.本件に関するお問い合わせ先

■東京都様の都税クレジットカードお支払サイトをご利用されたお客様
専用ダイヤル:0120-180-600(フリーダイヤル)
[受付時間:24時間]

■独立行政法人住宅金融支援機構様の団信特約料クレジットカード払いをご利用されたお客様
専用ダイヤル:0120-151-725(フリーダイヤル)
[受付時間:午前9時~午後9時]

お客様ならびに関係者の皆様には、ご心配およびご迷惑をおかけいたしますこと、心よりお詫び申し上げます。

以上

TOP
関連サービス