GMOペイメントゲートウェイ不正アクセスによる個人情報漏洩事故

「東京都税クレジットカードお支払いサイト」と「団体信用生命保険特約料クレジットカード支払いサイト」で不正アクセスが発生
流出した可能性がある情報件数
情報漏洩の原因
経済産業省も報告を求める
GMO-PGの今後の対策
最後に

「東京都税クレジットカードお支払いサイト」と「団体信用生命保険特約料クレジットカード支払いサイト」で不正アクセスが発生

2017年3月10日、GMOペイメントゲートウェイ株式会社（以下GMO-PG）が、運営受託する東京都の「東京都税クレジットカードお支払いサイト」および、独立行政法人住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」において、第三者による不正アクセスが確認され、情報が流出した可能性があることを公表しました。
東京都税クレジットカードお支払いサイト
 団体信用生命保険特約料クレジットカード支払いサイト

事故の詳細はGMO-PGのサイトにて公開されています。
ご報告 | GMOペイメントゲートウェイ株式会社

流出した可能性がある情報件数

「都税クレジットカードお支払サイト」では以下の情報が流出した可能性があります。（総件数676,290件）

1	クレジットカード番号・クレジットカード有効期限	61,661件
2	１に加え、メールアドレス	614,629件

「団信特約料クレジットカード払い」では以下の情報が流出した可能性があります。（総件数43,540件）

1	クレジットカード番号・クレジットカード有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日	622件
2	１に加え、メールアドレス・加入月	27,661件
3	１に加え、メールアドレス	5,569件
4	１に加え、加入月	9,688件

情報漏洩の原因

IPA独立行政法人情報処理推進機構様の「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」（※1）ならびにJPCERT様の「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」（※2）の情報に基づき、当社システムへの影響調査を開始した結果、不正アクセスの痕跡を確認できたとのことです。
簡単に言えば、Apache Struts2 の脆弱性を突かれて不正アクセスされた模様。

経済産業省も報告を求める

今回の事故を重く見た経済産業省はGMO-PGに対し、個人情報が漏えいした可能性のある事案の詳細な事実関係、個人情報の取扱い及び管理状況、調査状況、再発防止策について、本日より30日後の4月24日（月曜日）までに書面で報告するよう求めたとのことです。
・GMOペイメントゲートウェイ株式会社に対して個人情報保護法に基づく報告を求めました（METI/経済産業省）

GMO-PGの今後の対策

クレジットカード情報が流出した対象のお客様に対して、対象クレジットカード会社と協議の上、対応を進め、並行して警察への捜査協力を行うとのこと。
また、平成29年3月14日開催の臨時取締役会において、外部の専門家アドバイザーを含めた「再発防止委員会」を設置することを決定しています。

最後に

クレジットカード決済を導入しているECサイトからの情報漏洩は過去に何件も発生していますが、今回のように決済代行会社が運営受託しているサイトからの情報漏洩はかなりレアです。
クレジットカード決済を行っている会社が運営するサイトなので、セキュリティ対策は100%万全なのは当たり前だと皆が思うはずです。
しかし、そうでなかったことに大変驚いています。
決済会社が運営するサイトでさえ個人情報が漏洩するくらい、セキュリティ対策は難易度が高いとも言えますが。

個人的に気になるのはセキュリティコードまで自社で保持していた点です。
クレジットカード番号を自社システムに保持している決済代行会社はよくありますが、セキュリティコードまで保持している会社ってあまりないと思うのですが（そもそもセキュリティコードを保持していいものかどうか）、今後この点がどう捉えられるかは注目したいです。

投稿者プロフィール

OSAMU HORIKAWACEO: 株式会社サンクユー代表取締役CEO。
基幹システムとECをつなぎ、受発注業務の最適化を支援する専門家。

関西大学卒業後、東証プライム上場のゼネコンにて人事総務を経験。
その後システムベンダーへ転職し、IBM AS/400環境における金融・物流・販売管理・経理・人事など、企業の基幹業務を支えるシステム開発に従事する。
プログラマからプロジェクトマネージャーまでを経験し、台湾・台北駐在として銀行システム構築プロジェクトにも参画。

この経験を通じて、「システムの質は要件定義の質に比例する」という思想を確立。
業務理解を起点としたシステム設計を強みとする。

その後、クレジット決済代行会社にて、決済システムの再構築や銀行連携、ECサイト構築を担当。
あわせて組織改革にも携わり、20名から60名規模への組織拡大を実現（退任時：常務取締役）。

2008年に株式会社サンクユーを創業、2010年に法人化。
現在は、基幹システムとECの両領域に精通した知見を活かし、BtoB企業における受発注業務のデジタル化・効率化を支援。
特に、FAX・電話・メールなどアナログ業務のEC化や、基幹システムとの連携を前提とした業務設計を得意とする。

単なるECサイト構築にとどまらず、業務フローの整理・要件定義・システム設計まで一貫して関与し、「現場で使われる仕組み」を実現することを重視している。

NTTレゾナント「goo Search Solution」にてEC関連コラムを執筆。
ECマーケティングレポート | goo Search Solution

■趣味・関心領域
BMW / WRC / ロードバイク / RIZIN / UFC / 大相撲
David Bowie / blur / MUSE / The Rolling Stones / XTC
機動戦士ガンダム（富野由悠季）
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン