報道されている通り、
GMOペイメントゲートウェイが3月10日、第三者による不正アクセスにより、クレジットカードの番号や有効期限などを含む71万9830件の情報が流出した可能性があると発表した。
GMOペイメントゲートウェイからも以下の報告がされている。
情報流出の原因はIPAが3月8日に発表した
Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045):IPA 独立行政法人 情報処理推進機構の脆弱性を利用した不正アクセスにより、悪意のあるプログラムが仕込まれたことによるらしい。
対象となっているサービスと不正アクセスされた可能性のある情報は、以下の通り。
(1)
東京都税 クレジットカードお支払サイトをご利用されたお客様(クレジットカ ード情報が流出した可能性のある総件数:676,290 件)
1 クレジットカード番号・クレジットカード有効期限 61,661 件
2 1に加え、メールアドレス 614,629 件
(2)
独立行政法人住宅金融支援機構 団信特約料クレジットカード払いをご利用されたお客様(クレジットカード情報が流出した可能性のある総件数:43,540 件)
1 クレジットカード番号・クレジットカード有効期限・
セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日 622 件
2 1に加え、メールアドレス・加入月 27,661 件
3 1に加え、メールアドレス 5,569 件
4 1に加え、加入月 9,688 件
はじめにこのニュースを見たときは「え?セキュリティコード保存してるの?」と脊髄反射的に思ったが、まさかGMOペイメントゲートウェイがセキュリティコード保持するような決済サービス構築してるとは考えにくいよなあ。
PCIDSS | GMOペイメントゲートウェイでは、
▼ PCIDSSに完全準拠した安全なクレジットカード決済
当社のサービスは、JCB・American Express・Discover・MasterCard・VISAの国際クレジットカードブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準PCIDSS Ver3.2 に完全準拠しております。
って書いてあるからなぁ。
PCIDSS3.2の日本語ドキュメントが見つからなかったから
安全なカード社会の実現をめざして日本カード情報セキュリティ協議会を参照してみた。
そこにはこんな感じで書かれている。
PCI DSSのカード会員データとは何ですか?(J-801)
・プライマリーアカウント番号(PAN)
※以下の要素は、PANと共に保存、処理、送信される場合、またはカード会員データ環境(CDE)に存在する場合、カード会員データとして保護される必要があります。
・カード会員名
・有効期限
・サービスコード
(2016.8.5)
機密認証データとは何ですか?(J-802)
・フルトラックデータ(磁気ストライプデータまたはチップ上の同等データ)
・CAV2/CVC2/CVV2/CID
・PIN または PIN ブロック
※これらはオーソリゼーション(承認)後、暗号化していても保存してはいけません。これは環境内にPANがない場合にも当てはまります。(2016.8.5)
こういうのを守ってないとPCIDSSに準拠しているとはいえなさそう。
なので、ある程度きちんと審査を受けて準拠しているとお墨付きをいただいているはず。
ちなみに、PCIDSS 3.2の要求仕様についてはこちらに公開されている。
Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2 April 2016(PDF)この要求仕様の
8ページ目にSensitive Authentication Dataは保存しちゃダメよとやっぱ書いてあるな。
では、なぜ保持していないはずのセキュリティコードまで流出の対象となっているのか?
可能性として考えられるのが、ある期間だけ、入力ページを差し替えられて入力した情報が別のサイトに転送されて流出ってパターンかな。
入力フォームが一定の期間差し替えられて、入力フォームで入力したセキュリティコードが第三者の別のサイトに転送され、情報が流出したパターンがあるよなー。
しかし、だとすると、いつからページが悪意あるページに差し替えられてたかですな。
セキュリティコードが流出したのは
独立行政法人住宅金融支援機構 団信特約料クレジットカード払いのサイト。合計で43,540件って一定期間でフォームを差し替えられて搾取されたにしては多すぎないかな?
結局のところ、よくわかってないんだが、43,540件のクレジットカード番号・クレジットカード有効期限・セキュリティコード・カード払い申込日・住所・氏名・電話番号・生年月日情報が流出したとなると、データベースに直接アクセスして抜かれたようにも考えられる。けど、セキュリティコードは保存していないはずという矛盾。
これ、仮にPCIDSSに準拠せずにセキュリティコード保持してた場合は
GMOペイメントゲートウェイ的にはどう説明するのだろう?
うーむ。もやもやするねぇ。
なお、「流出した可能性がある」ってことなので、「流出してない」かもしれないってことなんかねぇ??
追加の報道があるかもしれんので注目しとくか。