東京都の「都税クレジットカードお支払いサイト」と住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」が不正アクセスを受け、クレジットカード情報など合わせて約72万件の情報が流出した可能性があることがわかった。

不正アクセスを受けた東京都の「都税クレジットカードお支払いサイト」。3月10日午後7時時点ではサービスを停止している
不正アクセスを受けた東京都の「都税クレジットカードお支払いサイト」。3月10日午後7時時点ではサービスを停止している
[画像のクリックで拡大表示]

 両サイトの運営を受託しているGMOペイメントゲートウェイ(GMO-PG)が2017年3月10日に発表した。「(JavaのWebアプリケーションを作成するためのソフトウェアフレームワークである)Apache Struts2の脆弱性を悪用された」(GMO-PG広報)としている。

 情報流出の可能性があるのは、東京都のサイトが67万6290件、住宅金融支援機構のサイトが4万3540件。前者ではクレジットカード番号と有効期限、メールアドレスなどの情報が流出した恐れがあり、後者ではそれに加えセキュリティコード、住所、氏名、電話番号、生年月日などが流出した恐れがあるとしている。「どちらも開設以来の取引情報が漏洩した可能性がある」(GMO-PG広報)。

 Apache Struts2の脆弱性を巡っては、3月8日に情報処理推進機構(IPA)が「リモートで任意のコードが実行される脆弱性が存在する」と注意喚起した。GMO-PGは9日午後6時から影響調査を開始。運用中のサーバーを確認したところ、同日深夜に不正アクセスの痕跡を確認したという。

 3月10日午後7時時点では、両サイトともサービスを中断している。同社は「このような事態を起こし、お客様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます」と発表文書で謝罪。流出の可能性がある利用者に対しては「対象クレジットカード会社と協議のうえ対応を進める」(GMO-PG広報)とする。

 東京都と住宅金融支援機構では、今回の情報流出の可能性に関する電話窓口を設置している。東京都の番号は0120-180-600、住宅金融支援機構の番号は0120-151-725。

GMOペイメントゲートウェイの公表文書