|
再発防止委員会が「不正アクセスによる情報流出に関する調査報告書」を取りまとめ公開
現時点では不正に取得されたクレジットカード情報の不正利用は確認されていない
【再発防止委員会の調査報告書の概要】
1)事故の概要
平成29年3月8日から9日にかけ、運営受託していた都税支払サイト及び保険特約料支払いサイトにおいて、アプリケーション・フレームワークであるApache Struts2の脆弱性(リモートから任意のコマンドを実行可能である脆弱性(S2-045))を利用してサーバ内部にバックドアプログラムを設置され、バックドアプログラム経由で暗号化された会員カードデータ等と個人情報を攻撃者により不正に取得された
2)再発防止策再発防止委員会は、短期及び中長期の技術的な防止策と、情報セキュリティマネジメントに関する防止策を実施することを決定
3)再発防止策の実施
再発防止委員会で決定した再発防止策に基づき、平成29年4月14日までに、以下防止策を実施
・技術的な防止策における短期的対策
・セキュリティインシデント対応
・システム開発に関する短期的対策
さらに、都税支払サイトの再開のために、同サイト及び保険特約料支払いサイトを対象として、再発防止の観点からPCIDSSアセスメントを実施し、14日時点でPCIDSS要件を満たしたことを確認 |