Apache Struts 2の脆弱性、約72万件のクレジットカード番号が流出か

あるAnonymous Coward 曰く、　GMOペイメントゲートウェイは10日、同社が運営を委託されている東京都の「都税クレジットカードお支払いサイト」と住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」がApache Struts 2の脆弱性を悪用した不正アクセスを受け、最大約72万件のクレジットカード情報が流出した可能性があると発表した(不正アクセスに関するご報告と情報流出のお詫び、NHKニュースの記事、ITproの記事、ITmediaビジネスオンラインの記事)。

同社はIPAとJPCERTが相次いでApache Struts 2の脆弱性に対する注意喚起を行ったことを受け、社内システムの調査を9日に実施したところ、不正アクセスの痕跡が確認されたという。都税サイトではクレジットカード番号と有効期限が最大67万件以上、住宅金融支援機構サイトではカード番号と有効期限に加えセキュリティコードや住所・氏名・電話番号・生年月日など最大4万件以上が流出した可能性がある。決済サービスからの漏洩ということで範囲が大きくなっているようだ。

　Apache Struts 2の脆弱性S2-045が最初に公表されたのは3月2日。7日には既にエクスプロイトが出回っていたようだ。

　スラドのコメントを読む | オープンソースセクション | セキュリティ | apache | バグ | 政府 | お金 | 情報漏洩

　関連ストーリー：
Apache Struts 2にリモートからの任意コード実行を許す脆弱性 2017年03月09日
「kokuzei.noufu.jp」ドメインを使った「国税クレジットカードお支払サイト」が登場、今度は本物 2017年01月06日
都道府県型ドメインを使って紛らわしいドメインを作れる問題、今度は「zei.tokyo.jp」ドメインが登場 2016年12月16日