日付 |
タイトル・内容 |
28日 |
|
25日 |
|
14日 |
|
13日 |
|
13日 |
|
13日 |
|
13日 |
|
13日 |
|
12日 |
|
11日 |
|
11日 |
|
10日 |
|
|
|
1.不正アクセスの状況について
アプリケーションフレームワークであるApache Struts2の脆弱性を悪用した不正アクセスが発生し、東京都の都税クレジットカード支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトに悪意あるプログラムが仕込まれたことが判明し、調査の結果、以下の情報が流出した可能性が判明。
現時点では、該当2サイト以外の弊社サービスにつきましては、同様の問題が発生していないことを確認。
2.不正アクセスされた可能性のある情報について
■東京都:都税クレジットカード支払いサイトの利用者
(クレジットカード情報が流出した可能性のある総件数:676,290件)
1)クレジットカード番号・クレジットカード有効期限(61,661件)
2)上記に加え、メールアドレス(614,629件)
■独立行政法人住宅金融支援機構 団信特約料クレジットカード払い利用者
(クレジットカード情報が流出した可能性のある総件数:43,540件)
1)クレジットカード番号・クレジットカード有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日(622件)
2)1)に加え、メールアドレス・加入月(27,661件)
3)1)に加え、メールアドレス(5,569件)
4)1)に加え、加入月(9,688件)
3.調査経緯と対策について
■3/9(木)18:00(調査開始)
IPA独立行政法人情報処理推進機構の「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」(※1)ならびにJPCERTの「Apache Struts 2 の脆弱性(S2-045) に関する注意喚起」(※2)の情報に基づき、当社システムへの影響調査を開始。
(※1)https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
(※2)https://www.jpcert.or.jp/at/2017/at170009.html
20:00
当該脆弱の対象となるシステムの洗い出しが完了。対策方法の検討開始。
21:56[対策1]
WAFにて該当する不正パターンによるアクセスの遮断を実施。
同時に不正アクセスの可能性の調査を開始。
23:53[対策2]
不正アクセスの痕跡を確認したため「Apache Struts 2」が稼働しているシステムを全停止。
ネットワーク未接続状態にあったバックアップシステムに切替を実施。
■3/10(金)00:30[対策3]
「Apache Struts 2」の脆弱性対策を[対策2]のバックアップシステムに実施。
調査の結果、東京都の都税クレジットカード支払サイトと独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正アクセスを確認。
02:15
東京都の都税クレジットカード支払サイトと独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正にデータ取得された可能性が高いことを確認。
06:20
不正アクセスされた可能性のある情報の内容と件数を確認。
08:40〜
東京都の都税クレジットカードお支払いサイト運営会社ならびに独立行政法人住宅金融支援機構様へ報告。対策を協議。
4.本件に関する今後の対応について
クレジットカード情報が流出した対象者については、対象クレジットカード会社と協議の上、対応を進める。また、再発防止策を検討するに当たり、本日よりセキュリティ専門会社によるシステム調査を開始、並行して警察への捜査協力を行う。
5.本件に関するお問い合わせ先
■東京都の都税クレジットカードお支払サイトの利用者
専用ダイヤル:0120−180−600(フリーダイヤル)
受付時間: 4月7日(金)までは24時間
4月8日(土)以降は午前9時〜午後9時
※4月7日(金)更新
■独立行政法人住宅金融支援機構の団信特約料クレジットカード払いの利用者
専用ダイヤル:0120−151−725(フリーダイヤル)
受付時間: 午前9時〜午後9時
|
|
|
|
|
|
10日 |
|
07日 |
|
07日 |
|
07日 |
|