2017年3月10日の「不正アクセスに関するご報告と情報流出のお詫び」について
この度は、お客さまならびに関係者の皆様に多大なるご心配とご迷惑をお掛けしましたこと、心より深くお詫び申しあげます。
2017年5月1日付け「再発防止委員会の調査報告等に関するお知らせ」に記載の、全ての再発防止策を着実に実施した上で、PCI DSS再監査が完了いたしました。
当社では、引き続き、情報セキュリティの向上とリスク管理体制の強化に取り組んでまいります。
2017年6月5日、独立行政法人住宅金融支援機構様より発表の「団信特約料クレジットカード払い専用サイトの再開について」にございます通り、2017年6月5日(月)16:00より「団信特約料クレジットカード払いサイト」を再開することとなりました。
弊社では、この度の事態発生の原因を踏まえた再発防止策を実施し、第三者の専門会社による監査で安全性を確認いたしました。この内容をもって、独立行政法人住宅金融支援機構様の了解を得ましたため再開することとなりました。
「再発防止委員会の調査報告等に関するお知らせ」を開示いたしました。
詳細につきましては、下記URLをご参照ください。
URL:https://corp.gmo-pg.com/newsroom/pdf/170501_gmo_pg_ir-kaiji-02.pdf
2017年4月19日、東京都主税局様より発表の『「都税クレジットカードお支払サイト」の再開について』にございます通り、2017年4月24日(月)9:00より「都税クレジットカードお支払サイト」を再開することとなりました。
弊社では、この度の事態発生の原因を踏まえた再発防止策を実施し、第三者の専門会社による監査で安全性を確認いたしました。この内容をもって、委託元のトヨタファイナンス株式会社様及び東京都主税局様の合意を得ましたため、2017年4月24日(月)9:00より「都税クレジットカードお支払サイト」を再開することとなりました。
なお、「団体信用生命保険特約料クレジットカード支払いサイト」の再開時期は未定でございますが、一日も早い再開に向けて取り組んでおります。
弊社不正アクセスによる個人情報の不正取得に関して、経済産業省より2017年4月24日までに報告を求められておりました個人情報保護法に基づく報告を、本日2017年4月17日、再発防止委員会による検証を踏まえ「個人情報の保護に関する法律第32条の規定に基づく報告について」として、経済産業省へ提出いたしました。
引き続き、全社を挙げて再発防止策、セキュリティ強化を推進し、お客様の信頼回復に努めてまいります。
「都税クレジットカードお支払サイト」「団体信用生命保険特約料クレジットカード支払いサイト」への不正アクセスにつきまして、セキュリティ専門会社及び弊社調査の結果、不正に取得された情報数が以下のとおり確定しました。
下記の数値は、項目ごとの数値であり、各項目を合算して不正に取得された総数となるものではありません。
「都税クレジットカードお支払サイト」
・クレジットカード番号・有効期限:364,181
・メールアドレス:362,049
「団体信用生命保険特約料クレジットカード支払いサイト」
・クレジットカード番号・有効期限:40,872
・セキュリティコード(※):31,124
・メールアドレス(※):28,552
・住所:39,085
・電話番号:37,380
・氏名・生年月日:36,377
(※)セキュリティコード及びメールアドレスは、「団体信用生命保険特約料クレジットカード支払いサイト」によりクレジットカード払いの申込みを行ったお客様が対象となります。紙面による申込みにはセキュリティコード及びメールアドレスは不要なため、クレジットカード番号の数に比べて少なくなっております。
当初発表しておりました件数(https://corp.gmo-pg.com/news_em/20170310.html#em00)から減少した理由は、当初発表した件数は重複した情報(同一カードで複数回支払いをされたお客様等)を含む最大値であり、その重複分を除いたためとなります。
現時点では不正に取得されたクレジットカード情報の不正利用は確認されておりません。
「都税クレジットカードお支払サイト」「団体信用生命保険特約料クレジットカード支払いサイト」への不正アクセスにつきましてご報告させていただきます。
情報流出の状況について、2017年3月10日より、セキュリティ専門会社であるPayment Card Forensics株式会社による調査を実施してまいりました。
2017年3月31日付「最終インシデント調査報告書」において、以下3点を確認しております。
本報告内容を厳粛に受け止め、再発防止策、セキュリティ強化に努め、一日も早い再開に向けて全力で取り組んでまいります。
改めまして、お客様ならびに関係者の皆様に多大なるご心配とご迷惑をお掛けしておりますこと、心より深くお詫び申しあげます。
GMOの商標・商号を騙る業者から、至急の連絡を求める不審なSMS(※)が届くとの情報がございました。
GMOペイメントゲートウェイ株式会社およびGMOインターネットグループでは、折り返しの連絡を求めるSMSをお客様へお送りすることはございません。このような折り返しの連絡を求めるSMSは、個人情報を不正入手しようとする詐欺の可能性がございます。
内容に心当たりのないSMSを受信された場合、記載の電話番号には絶対に連絡しないようご注意ください。
(※)携帯電話番号を宛先にして送受信するショートメッセージサービス
2017年3月17日、独立行政法人住宅金融支援機構様より発表のございました『事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの 不正アクセス及び個人情報流出のおそれについて<続報>』にございますとおり、独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジット カード支払いサイトにおいて流出の可能性がある情報のうち、セキュリティコード及びメールアドレスは、「団信クレジット払い専用サイト」によりクレジットカード払いの申込みを行ったお客様に限り流出した可能性があります。
「再発防止委員会」の設置について
平成29年3月10日発表の「不正アクセスに関するご報告と情報流出のお詫び」にてお知らせしましたとおり、当社において運営受託しております東京都の都税クレジットカード支払サイト及び独立行政法人住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。
お客様ならびに関係者の皆様に多大なるご心配とご迷惑をお掛けしておりますこと、心より深くお詫び申しあげます。
当社は、今回の事態を重く受け止め、本件不正アクセスによる情報流出の可能性と当社システム開発及び運用にかかわる課題について全社を挙げて取り組んでおりますが、より一層の高度な対策を実施するべく、今般外部の専門家アドバイザーを含めた「再発防止委員会」を設置することを、平成29年3月14日開催の臨時取締役会において決定いたしましたので、ご報告申しあげます。
記
1.再発防止委員会の構成(敬称略)
委員長 | 相浦 一成 | 代表取締役社長 |
委員 | 村松 竜 | 取締役副社長 |
委員 | 礒崎 覚 | 取締役副社長 |
委員 | 久田 雄一 | 専務取締役 |
委員 | 木村 泰彦 | 取締役 |
委員 | 杉山 真一 | 取締役 |
委員 | 吉岡 優 | 取締役 |
委員 | 中村 好伸 | 中村好伸法律事務所 弁護士 |
専門家アドバイザー | 大井 哲也 | TMI総合法律事務所 弁護士 |
専門家アドバイザー | 白井 邦芳 | 社会情報大学院大学 広報・情報研究科 教授 |
専門家アドバイザー | 大河内 貴之 | Payment Card Forensics株式会社 フォレンジック・シニアコンサルタント |
2.再発防止委員会の役割
お客様ならびに関係者の皆様には、多大なご心配及びご迷惑をお掛けしておりますこと、改めて心よりお詫び申しあげます。全社を挙げて再発防止に取り組み、お客様の信頼回復に努めてまいります。
以 上
不審な電話、メール、手紙、訪問にご注意ください。
「あなたのクレジットカード情報が流出しました。至急対策する必要があるのでクレジットカード番号やセキュリティコードを教えてください」という 電話があったとの情報がございました。 本件との関連性は不明ではありますが、クレジットカード会社や政府機関、行政などからそのようなお問い合わせをすることはありませんので、絶対に 情報をお伝えにならないようご注意ください。
[注]
2017年3月10日
お客様各位
GMOペイメントゲートウェイ株式会社
GMOペイメントゲートウェイ株式会社(以下、当社)において運営受託しております東京都様の都税クレジットカードお支払サイトおよび独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。
このような事態を起こし、お客様および関係者の皆様に多大なるご心配とご迷惑をお掛けいたしますこと、心より深くお詫び申し上げます。
アプリケーションフレームワークであるApache Struts2の脆弱性を悪用した不正アクセスが発生し、東京都様の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトに悪意あるプログラムが仕込まれたことが判明し、調査の結果、以下の情報が流出した可能性が判明いたしました。現時点では、該当2サイト以外の弊社サービスにつきましては、同様の問題が発生していないことを確認しております。
1 | クレジットカード番号・クレジットカード有効期限 | 61,661件 |
2 | 1に加え、メールアドレス | 614,629件 |
1 | クレジットカード番号・クレジットカード有効期限・セキュリティ コード・カード払い申込日・住所・氏名・電話番号・生年月日 |
622件 |
2 | 1に加え、メールアドレス・加入月 | 27,661件 |
3 | 1に加え、メールアドレス | 5,569件 |
4 | 1に加え、加入月 | 9,688件 |
■3/9(木)
18:00
IPA独立行政法人情報処理推進機構様の「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」(※1)ならびにJPCERT様の「Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起」(※2)の情報に基づき、当社システムへの影響調査を開始。
(※1)https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
(※2)https://www.jpcert.or.jp/at/2017/at170009.html
20:00
当社内で当該脆弱の対象となるシステムの洗い出しが完了。対策方法の検討開始。
21:56
WAF(※3)にて該当する不正パターンによるアクセスの遮断を実施。[対策1]
同時に不正アクセスの可能性の調査を開始。
(※3)WAF(Web Application Firewall)Webサイト、およびその上で動作するWebアプリケーションを狙った攻撃を防御するセキュリティ対策システム。
23:53
不正アクセスの痕跡を確認したため「Apache Struts 2」が稼働しているシステムを全停止。ネットワーク未接続状態にあったバックアップシステムに切替を実施。[対策2]
■3/10(金)
00:30
「Apache Struts 2」の脆弱性対策を[対策2]のバックアップシステムに実施。[対策3]
調査の結果、東京都様の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正アクセスを確認。
02:15
東京都様の都税クレジットカードお支払サイトと独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて不正にデータ取得された可能性が高いことを確認。
06:20
不正アクセスされた可能性のある情報の内容と件数を確認。
08:40~
東京都様の都税クレジットカードお支払いサイト運営会社ならびに独立行政法人住宅金融支援機構様へ報告。対策を協議。
クレジットカード情報が流出した対象のお客様につきましては、対象クレジットカード会社と協議の上、対応を進めてまいります。また、再発防止策を検討するに当たり、本日よりセキュリティ専門会社によるシステム調査を開始いたしました。なお、並行して警察への捜査協力を行ってまいります。
■東京都様の都税クレジットカードお支払サイトをご利用されたお客様
専用ダイヤル:0120-180-600(フリーダイヤル)
受付時間 | 午前9時~午後9時 5月1日(月)以降は午前9時~午後5時 ※なお、お問合わせ窓口は5月12日(金)までとなります。 ※5月1日(月)更新 |
■独立行政法人住宅金融支援機構様の団信特約料クレジットカード払いをご利用されたお客様
専用ダイヤル:0120-151-725(フリーダイヤル)
受付時間 | 午前9時~午後9時 5月1日(月)以降は午前9時~午後5時 ※なお、お問合せ窓口は6月23日(金)までとなります。 ※6月20日(火)更新 |
お客様ならびに関係者の皆様には、ご心配およびご迷惑をおかけいたしますこと、心よりお詫び申し上げます。
以上