JavaのWebアプリケーションフレームワーク「Apache Struts2」に2017年3月6日、外部から不正にサーバーを操れる脆弱性が見つかり、7日には攻撃が始まった。開発元の米アパッチソフトウエア財団は8日、脆弱性を解消した最新版の公式提供を開始。だが東京都と住宅金融支援機構から合計で約72万件のクレジットカード情報が流出し、ジンズや日本郵便などからは合計で約130万件の個人情報が流出した恐れがある。
2017年3月10日、被害を最初に公表したのは東京都だ(表)。都は都民が自動車税などをクレジットカードで支払える「都税クレジットカードお支払サイト」を提供している。
同サイトが今回の脆弱性(S2-045、CVE-2017-5638)を攻撃された。都は4月5日、調査の結果、暗号化されたカード番号やカードブランド、有効期限などの情報が67万6290件流出したことが確定したと公表した。
2011年のサイト開設当初、扱うのは自動車税だけだったが2015年からはほぼ全ての税を支払えるようになった。年間利用者は約40万人弱であり、今回の攻撃で複数年分の情報が流出した可能性がある。都は「関係者の皆様には、多大なご迷惑をおかけし、深くお詫びを申し上げます」と謝罪する。
外部委託先が攻撃される
都主税局徴収部の山本雅子滞納整理対策担当課長らが事態を知ったのは3月10日午前11時ごろ。都税クレジットカードお支払サイトの業務を委託する指定代理納付者のトヨタファイナンスから不正アクセスの連絡があった。
山本氏らは午前11時15分にサイトを停止。主税局のCSIRT(コンピュータ・セキュリティ・インシデント・レスポンス・チーム)は上位組織である東京都CSIRTに連絡し、東京都CSIRTは総務省に報告した。
支払いサイトはトヨタファイナンスが再委託している決済代行サービスのGMOペイメントゲートウェイ(GMO-PG)が構築と運営を担当している。都は直接所有するサイトではないため、事故対応はしなかった。
都が所有する都税関連の基幹システムと、2015年4月に稼働したGMOPGが運営する支払いサイトは、NTTデータが運営する収納機関共同利用センター「pufure(パフュール)」を介してつながる。都はパフュールに都税の請求情報をメディアに格納して渡す。
都の山本氏は「GMO-PGから支払いサイトへの攻撃は3月8日夕方で、カード情報のデータベース(DB)が攻撃されただけで税情報のDBは攻撃されていないと聞いている」と話す。
一方、トヨタファイナンスはサイバーセキュリティ関連情報を共有・分析する金融ISACに加盟している。金融ISACの情報共有の枠組みでは3月7日午後7時ごろに今回の脆弱性情報の報告があった。
「脆弱性情報は自社システムの影響調査に使うのが目的で、委託先に情報提供するものではない。今後は委託先の決済代行サービス事業者に必要に応じて情報提供していく」(広報渉外室)。
