GMOペイメントゲートウェイ不正アクセスによる個人情報漏洩事故

「東京都税クレジットカードお支払いサイト」と「団体信用生命保険特約料クレジットカード支払いサイト」で不正アクセスが発生
流出した可能性がある情報件数
情報漏洩の原因
経済産業省も報告を求める
GMO-PGの今後の対策
最後に

「東京都税クレジットカードお支払いサイト」と「団体信用生命保険特約料クレジットカード支払いサイト」で不正アクセスが発生

2017年3月10日、GMOペイメントゲートウェイ株式会社（以下GMO-PG）が、運営受託する東京都の「東京都税クレジットカードお支払いサイト」および、独立行政法人住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」において、第三者による不正アクセスが確認され、情報が流出した可能性があることを公表しました。
東京都税クレジットカードお支払いサイト
 団体信用生命保険特約料クレジットカード支払いサイト

事故の詳細はGMO-PGのサイトにて公開されています。
ご報告 | GMOペイメントゲートウェイ株式会社

流出した可能性がある情報件数

「都税クレジットカードお支払サイト」では以下の情報が流出した可能性があります。（総件数676,290件）

1	クレジットカード番号・クレジットカード有効期限	61,661件
2	１に加え、メールアドレス	614,629件

「団信特約料クレジットカード払い」では以下の情報が流出した可能性があります。（総件数43,540件）

1	クレジットカード番号・クレジットカード有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日	622件
2	１に加え、メールアドレス・加入月	27,661件
3	１に加え、メールアドレス	5,569件
4	１に加え、加入月	9,688件

情報漏洩の原因

IPA独立行政法人情報処理推進機構様の「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」（※1）ならびにJPCERT様の「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」（※2）の情報に基づき、当社システムへの影響調査を開始した結果、不正アクセスの痕跡を確認できたとのことです。
簡単に言えば、Apache Struts2 の脆弱性を突かれて不正アクセスされた模様。

経済産業省も報告を求める

今回の事故を重く見た経済産業省はGMO-PGに対し、個人情報が漏えいした可能性のある事案の詳細な事実関係、個人情報の取扱い及び管理状況、調査状況、再発防止策について、本日より30日後の4月24日（月曜日）までに書面で報告するよう求めたとのことです。
・GMOペイメントゲートウェイ株式会社に対して個人情報保護法に基づく報告を求めました（METI/経済産業省）

GMO-PGの今後の対策

クレジットカード情報が流出した対象のお客様に対して、対象クレジットカード会社と協議の上、対応を進め、並行して警察への捜査協力を行うとのこと。
また、平成29年3月14日開催の臨時取締役会において、外部の専門家アドバイザーを含めた「再発防止委員会」を設置することを決定しています。

最後に

クレジットカード決済を導入しているECサイトからの情報漏洩は過去に何件も発生していますが、今回のように決済代行会社が運営受託しているサイトからの情報漏洩はかなりレアです。
クレジットカード決済を行っている会社が運営するサイトなので、セキュリティ対策は100%万全なのは当たり前だと皆が思うはずです。
しかし、そうでなかったことに大変驚いています。
決済会社が運営するサイトでさえ個人情報が漏洩するくらい、セキュリティ対策は難易度が高いとも言えますが。

個人的に気になるのはセキュリティコードまで自社で保持していた点です。
クレジットカード番号を自社システムに保持している決済代行会社はよくありますが、セキュリティコードまで保持している会社ってあまりないと思うのですが（そもそもセキュリティコードを保持していいものかどうか）、今後この点がどう捉えられるかは注目したいです。

投稿者プロフィール

OSAMU HORIKAWACEO: 関西大学卒業後、東証プライム上場企業ゼネコンにて人事総務業務に従事。
幼少よりモノ作りが好きだったこともあり、「モノを作る仕事がしたい」という思いからシステムベンダーへ転職。

システムベンダーでは、IBMオフコンAS400で金融、物流、販売管理、経理、人事総務などのシステムを開発。
台北に駐在し遠東國際商業銀行のシステム構築プロジェクトへの参画など貴重な経験を積む。
10年間で、プログラマ、SE、プロジェクトリーダー、プロジェクトマネージャーを務め、「システムの質は要件定義の質に比例する」と学ぶ。

その後、クレジット決済代行会社にヘッドハンティングされる。
決済システムの再構築、国内外の銀行システムとの接続、クライアントの会社サイト制作・ECサイト構築を行う。
一方、組織改革を任され、20名から60名へ会社規模を拡大させる。（退任時役職：常務取締役）

2008年クリエイティブチーム・サンクユーを立ち上げ、2010年に法人化し株式会社サンクユーを設立。

クライアントの業界、取扱商材、ターゲット顧客を理解・分析することで、結果が出るWEBサイトを制作することを得意とする。
また、ECサイト構築・運営への造詣も深く、NTTレゾナント株式会社が運営するgoo Search Solutionでコラムを執筆。
ECマーケティングレポート | goo Search Solution

■趣味・好きなもの
BMW / WRC / ロードバイク / RIZIN / Bellator / UFC
David Bowie / blur / MUSE / TheRollingStones / XTC
機動戦士ガンダム(ファースト) / 富野由悠季
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン