情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
情報漏洩、ウィルス、不正アクセス対策などセキュリティの事はお任せください
東京都から収納代行業務の指定を受けているトヨタファイナンス株式会社と、サイトの運営を委託しているGMOペイメントゲートウェイ株式会社が平成29年3月10日に第三者からの不正アクセスがあり、情報漏えいした可能性があると発表。
対象:平成27年4月から平成29年3月までの同サイト利用者
・クレジットカード情報が流出した可能性のある総件数:676,290件
クレジットカード番号・有効期限:61,661件
メールアドレス:614,629件
*以下GMOペイメントゲートウェイ株式会社発表による
独立行政法人情報処理推進機構(IPA)がApache Struts2 の脆弱性対策情報を更新
IPAが発表した「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」、JPCERT発表の「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」情報に基づき、システムへの影響調査を開始。
当該脆弱の対象となるシステムの洗い出しが完了。対策方法の検討開始。
WAFにて該当する不正パターンによるアクセスの遮断を実施。同時に不正アクセスの可能性の調査を開始。
不正アクセスの痕跡を確認したため「Apache Struts 2」が稼働しているシステムを全停止。ネットワーク未接続状態にあったバックアップシステムに切替を実施。
「Apache Struts 2」の脆弱性対策をのバックアップシステムに実施。調査の結果、都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正アクセスを確認。
都税クレジットカードお支払サイトと団体信用生命保険特約料クレジットカード支払いサイトにおいて不正にデータ取得された可能性が高いことを確認。
不正アクセスされた可能性のある情報の内容と件数を確認。
都税クレジットカードお支払いサイト運営会社ならびに独立行政法人住宅金融支援機構へ報告。対策を協議。
引用元URL:
https://www.ipa.go.jp/security/announce/struts2_list.html3/10
http://www.toyota-finance.co.jp/oshirase/detail.php?id=1378
https://corp.gmo-pg.com/news_em/20170310.html
Apache Strutsはウェブアプリケーションを開発するためのソフトウェアです。日本国内でウェブサイト構築に非常に多く利用されている為、Apache Strutsで構築されたウェブサイトはかなりの数が存在します。既に数件の漏えいが発覚している為、Apache Strutsで構築しているサイトは即座に調査をする必要があります。攻撃者により不正アクセスが行われ情報漏洩が発生した場合、原因の調査、復旧作業、再発防止に向けたシステム構築、外部への説明を発信、など多くの対応が必要となります。経営者層を含め組織一丸となって、ウェブサイト改ざんの影響を理解し、適切なセキュリティ対策を 行っていくことが急務となります。弊社でもSQLインジェクションだけでなく、ウェブサイト全体のぜい弱性を診断するサービスを行っておりますので、被害が発生する前に是非中小企業情報セキュリティ.COMへご相談ください。
