2017年3月10日にGMPペイメントゲートウェイからクレジットカードが流出した発表がありました。セキュリティコードやクレジット番号、有効期限などを含む情報が何十万件も流出したためかなり大きな事件だと思います。私もこの流出した対象になってしまったこともあり、原因、影響や対策について書いてみようと思います。

事件の概要

2017年3月9日にIPAからStruts2の脆弱性が発表され、GMO-PGがそれの調査を行ったところ「独立行政法人住宅金融支援機構 団信特約料クレジットカード」「東京都税クレジットカード払い」のサービスのクレジットカード情報の流出が確認されたそうです。

GMP-PGや上記2つのサービスのサイトに情報が記載されています。

https://corp.gmo-pg.com/news_em/20170310.html?_ga=1.141201714.1013951250.1489534558#em09

流出の原因

原因は上記2つのサービスのクレジット決済を請け負っていたGMP-PGのシステムに使っているStruts2というMVCフレームワークに脆弱性があり、これを攻撃されたことになります。

Apache Struts 2.3.5 から 2.3.31、2.5 から 2.5.10に脆弱性があるようで、HTTPリクエストを細工すると任意のコードを実行できてしまうという脆弱性になります。

詳しく書くとHTTPリクエストのContent-Typeヘッダに細工したOGNL式を含めると、これが実行できてしまうというバグのようです。

アドバイザリ ⇒ S2-045

脆弱性識別番号 ⇒ CVE-2017-5638

流出の影響

東京都の税金をWebからクレジット決済したことがある場合や、住宅金融支援機構で申し込んだ団信の支払いをクレジットカード払いで登録したことがある場合(例:フラット35の団信をクレジット登録した場合など)、登録した期間によりますが情報が流出している可能性があります。

流出した場合はその情報だけで決済できてしまうため、いつでも不正請求される可能性はある状態かと思います。

対策

流出した対象の方には既にハガキが届いていると思いますので、ハガキが届いた場合は以下の2つの対策があります。

  1. クレジットカードを再発行する
    カード裏面の番号に電話し、この流出の件を伝えれば無料で再発行してくれます。
  2. カードの有効期限が切れて更新されるまで、不正請求がないか定期的にチェックする
    不正請求があっても損失を被らないようカード会社に連携されているようですが、気づかなければそのまま払ってしまうこともあるため定期的にチェックし続ける方がよいかと思います。

私は②が面倒でしたので念のためクレジットカードを再発行しました。再発行したらクレジット番号が変わるため、今までクレジットを登録していたサービスに対して変更手続きが必要になります。(これはこれで面倒)