2017年前半、脆弱性を突いた二つの大きなサイバー攻撃が立て続けに日本を襲った。一つは5月12日に世界的に発生したランサムウエア「WannaCry(ワナクライ)」、もう一つは3月10日から日本の企業や団体での被害報告が公表ベースで12件となったJavaのWebアプリケーションフレームワーク「Apache Struts2」だ。

 3月10日、東京都と住宅金融支援機構(以下、機構)、日本貿易振興機構(JETRO)がStruts2脆弱性を悪用したサイバー攻撃の被害を最初に公表した。このうち、東京都と機構からクレジットカード払いサイトの運営を委託されていたのが、決済代行事業者大手のGMOペイメントゲートウェイ(以下、GMO-PG)である。

GMOペイメントゲートウェイ本社が入居するビル(東京・渋谷)
GMOペイメントゲートウェイ本社が入居するビル(東京・渋谷)
[画像のクリックで拡大表示]

 被害公表当初、東京都と機構はクレジットカード番号と有効期限が漏れた可能性がある件数を、合計で71万9830件としていた。その後のGMO-PGの調査で情報漏洩が確定。同条件の漏洩は東京都が36万4181件、機構が4万872件の合計40万5053件という結果になった。

 5月1日、GMO-PGは第二四半期の決算説明会を開催。冒頭で情報漏洩事案を取り上げ、相浦一成社長は「今般の事案に関して深くお詫び申し上げます。どうも申し訳ございませんでした」と陳謝した。

 この席で相浦社長は流出したカードの不正利用は確認できていないと説明。併せて、今回のインシデント(事故)対応で2億7000万円の特別損失を計上したと明かした。

 おわび状の送付やコールセンターの設置、調査などで費用がかかったという。ただ、保険金の充当で1億6000万円の特別利益も発生、差し引きして1億1000万の損失となった。

 さらに同社は同日、「再発防止委員会」がまとめた事故調査報告書「不正アクセスによる情報流出に関する調査報告書」をWebサイトで公表した。同委員会は相浦社長を委員長とし、法律家やフォレンジック専門家を含めた11人から成り、事故公表の4日後である3月14日に発足させた。

 報告書は20ページにわたり、事故の経緯や初動対応、フォレンジック調査の結果、再発防止策などをつづる。同社はこのほど、日経コンピュータの対面取材に応じ、記者の疑問に回答した。以下では取材結果を交えながら事故の経緯を振り返っていく。報告書は学びを得られる貴重な資料でもある。自分の組織ならどう対応できたかを考えながらお読みいただきたい。

「ゼロデイ攻撃」に見舞われる

 攻撃者は3月8日午前4時54分、まず機構の「保険特約料支払いサイト」に攻撃を開始。保険特約料とは機構が提供する住宅ローンの団体信用生命保険の保険料(特約料)を指す。同サイトは「利用者の利便性を向上するため、年1回のカード払いを申し込めるようにした」(機構の担当者)ものだ。