■ このスレッドは過去ログ倉庫に格納されています
【これはw】都税のクレカ支払いサイト等、Apache脆弱性をつかれて72万件の情報流出
- 1 : ブラディサンデー(愛知県)@\(^o^)/ [JP]:2017/03/11(土) 00:26:42.44 ID:jLtWiApk0●.net ?PLT(21003) ポイント特典
-
GMOペイメントゲートウェイに不正アクセス クレジットカード情報など約72万件が流出した可能性
ITmedia エンタープライズ 3/10(金) 22:31配信
- 2 : ブラディサンデー(愛知県)@\(^o^)/ [JP]:2017/03/11(土) 00:27:13.88 ID:jLtWiApk0.net
- GMOペイメントゲートウェイが3月10日、第三者による不正アクセスにより、クレジットカードの番号や有効期限などを含む71万9830件の情報が流出した可能性があると発表した。
不正アクセスがあったのは、東京都の都税クレジットカード支払いサイトと、住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイト。「Apache Struts2」の脆
弱性を悪用した不正アクセスが発生し、悪意のあるプログラムが仕込まれていたことが判明した。調査の結果、クレジットカード番号やクレジットカードの有効期限、メールアドレス
などの情報が流出した可能性があることが分かった。
不正アクセスの痕跡を確認したのは、3月9日の深夜。3月9日にIPAが発表した「Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)」ならびにJPCERTの「Apache
Struts 2の脆弱性 (S2-045) に関する注意喚起」の情報に基づき、同日18時からGMOペイメントゲートウェイのシステムへの影響調査を行った結果判明した。Apache Struts 2の
脆弱性対策はすでに実施済みだという。
クレジットカード情報が流出した対象者には、対象クレジットカード会社と協議の上、対応を進める。また、再発防止策を検討するため、セキュリティ専門会社によるシステム調査を
開始したという。並行して警察への捜査協力も行う。
- 3 : ブラディサンデー(愛知県)@\(^o^)/ [JP]:2017/03/11(土) 00:28:13.64 ID:jLtWiApk0.net
- http://headlines.yahoo.co.jp/hl?a=20170310-00000117-zdn_ep-sci
GMOペイメントの謝罪サイト
https://corp.gmo-pg.com/news_em/20170310.html?_ga=1.120577728.935093851.1489159289
- 4 : ブラディサンデー(愛知県)@\(^o^)/ [JP]:2017/03/11(土) 00:28:44.92 ID:jLtWiApk0.net
- ◆不正アクセスされた可能性がある情報と件数は以下の通り。
東京都 都税クレジットカードお支払いサイト 67万6290件
住宅金融支援機構 団信特約料クレジットカード払い 4万3540件
- 5 : リバースパワースラム(茸)@\(^o^)/ [US]:2017/03/11(土) 00:29:24.07 ID:XzTCfZTq0.net
- またきじゃくせいか
- 6 : フォーク攻撃(広西チワン族自治区)@\(^o^)/ [US]:2017/03/11(土) 00:31:03.27 ID:hnu12RrSO.net
- ジェロニモーッ!!
- 7 : 中年'sリフト(庭)@\(^o^)/ [US]:2017/03/11(土) 00:31:14.08 ID:cnWDwxGh0.net
- どうせリリースしたっきりフレームワークのアップデートなんてしてなかっったんだろ?
- 8 : スターダストプレス(神奈川県)@\(^o^)/ [US]:2017/03/11(土) 00:31:27.35 ID:dv45WTod0.net
- きょ…虚弱性
- 9 : 魔神風車固め(アラビア)@\(^o^)/ [US]:2017/03/11(土) 00:31:31.22 ID:2oYRH1w80.net
- 漢は黙ってゆうちょ窓口現金払い(´・ω・`)
- 10 : ハーフネルソンスープレックス(東京都)@\(^o^)/ [US]:2017/03/11(土) 00:35:00.24 ID:L+jMBuEb0.net
- 自動車税をクレジットカードで払ってるんだが
- 11 : ランサルセ(やわらか銀行)@\(^o^)/ [US]:2017/03/11(土) 00:35:03.76 ID:5gL8eO2S0.net
- Strutsの1.0でパッチなんて全く当ててないな
- 12 : イス攻撃(埼玉県)@\(^o^)/ [NL]:2017/03/11(土) 00:35:18.63 ID:f15JW8P00.net
- バッカじゃなかろか。。
- 13 : ジャンピングカラテキック(静岡県)@\(^o^)/ [DE]:2017/03/11(土) 00:36:57.99 ID:Xrz1/HwR0.net
- こういうことがあるからnanacoにクレジットチャージしてコンビニ払いしなきゃならないんだろが
セキュリティをちゃんとして全てをクレカ払いに対応させろ
- 14 : アトミックドロップ(やわらか銀行)@\(^o^)/ [CN]:2017/03/11(土) 00:37:15.22 ID:uSSS3yQg0.net
- gmoなんかに関わるからそうなるんだよ
ざまー
- 15 : 河津掛け(千葉県)@\(^o^)/ [US]:2017/03/11(土) 00:37:31.94 ID:qWyyD4Lb0.net
- き・・・脆弱性
- 16 : ダイビングフットスタンプ(神奈川県)@\(^o^)/ [IT]:2017/03/11(土) 00:37:49.12 ID:ntVYRsYC0.net
- 久しぶりにXAMPP入れてみたら
htdocs以下に最初からなんかファイルがいたり
MySQLじゃなくなったし
よく分からなくなってた
- 17 : ブラディサンデー(愛知県)@\(^o^)/ [JP]:2017/03/11(土) 00:37:50.77 ID:jLtWiApk0.net
- 岡ちゃんのサイトにも載った
◆概要
Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。
Apache Struts 2 には、「Jakarta Multipart parser」のファイルアップロード処理に起因する、リモートで任意のコードが実行される脆弱性(CVE-2017-5638)が存在します。
本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。
https://www.ipa.go.jp/files/000057761.png
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
- 18 : ミラノ作 どどんスズスロウン(東京都)@\(^o^)/ [CN]:2017/03/11(土) 00:38:35.97 ID:Yi9VTSm90.net
- やべえ
- 19 : 不知火(家)@\(^o^)/ [US]:2017/03/11(土) 00:44:00.70 ID:wUTmNuzY0.net
- 俺これで自動車税払ってるわ…抜かれたかな
- 20 : ファイヤーバードスプラッシュ(空)@\(^o^)/ [KR]:2017/03/11(土) 00:49:03.60 ID:5bhjm+To0.net
- gmoって言う時点でもう
- 21 : 垂直落下式DDT(東京都)@\(^o^)/ [CN]:2017/03/11(土) 00:51:54.93 ID:k3o4AMLZ0.net
- 次世代傘の開発が望まれるな
- 22 : 目潰し(catv?)@\(^o^)/ [ニダ]:2017/03/11(土) 01:16:54.04 ID:qBeRRNWr0.net
- こないだ警告出てたStruts2の脆弱性?
- 23 : 稲妻レッグラリアット(茸)@\(^o^)/ [US]:2017/03/11(土) 01:16:55.30 ID:QHz5weho0.net
- 確定申告のもそうだけど官公庁のサイトってJava使ってるの多いよね
- 24 : エルボーバット(チベット自治区)@\(^o^)/ [PA]:2017/03/11(土) 01:20:29.89 ID:vbRPQyy70.net
- なんてったって3億のデバイスで動いてますからねjava
- 25 : 雪崩式ブレーンバスター(家)@\(^o^)/ [US]:2017/03/11(土) 01:27:11.42 ID:nOBOMM4K0.net
- >>1
情けなさすぎて草も生えない
こんな奴らのために税金払ってんのかよ
馬鹿馬鹿しい
- 26 : ファイヤーボールスプラッシュ(茸)@\(^o^)/ [JP]:2017/03/11(土) 01:37:18.05 ID:KT9Lw2yA0.net
- そうだな
債権者づらして取り立ておって
- 27 : アキレス腱固め(秋田県)@\(^o^)/ [NL]:2017/03/11(土) 02:37:01.77 ID:6ImTWXeP0.net
- VIPでやれ
- 28 : バズソーキック(秋田県)@\(^o^)/ [ニダ]:2017/03/11(土) 03:37:02.98 ID:bPPbgsQV0.net
- 最悪
- 29 : カーフブランディング(チベット自治区)@\(^o^)/ [SE]:2017/03/11(土) 04:13:15.10 ID:yLNVdquo0.net
- >>25
やらかしたのは貸鯖屋やで
- 30 : マシンガンチョップ(チベット自治区)@\(^o^)/ [CA]:2017/03/11(土) 04:34:45.12 ID:TcNdE12R0.net
- クレカ4枚持ってる
1枚減らしたい
- 31 : スリーパーホールド(庭)@\(^o^)/ [KR]:2017/03/11(土) 05:04:34.87 ID:matT2ybX0.net
- >>30
こっちな
枚数どう絞る? 〜 カードダイエット作戦 Part20 [無断転載禁止]©2ch.net
http://rio2016.2ch.net/test/read.cgi/credit/1486220305/
- 32 : ミドルキック(北海道)@\(^o^)/ [US]:2017/03/11(土) 05:08:50.38 ID:9XQ9Dign0.net
- ダイヤルQ2のエロ番組の会社
- 33 : カーフブランディング(catv?)@\(^o^)/ [US]:2017/03/11(土) 05:20:08.91 ID:M9bDkbZN0.net
- nyaaが死んでるんだけど
- 34 : ハイキック(大阪府)@\(^o^)/ [ニダ]:2017/03/11(土) 05:25:52.43 ID:/yNlX+980.net
- 俺たちゃ裸がユニホーム
- 35 : ファイヤーバードスプラッシュ(秋田県)@\(^o^)/ [US]:2017/03/11(土) 06:25:03.52 ID:g0fVxjE30.net
- そうそう
- 36 : ラ ケブラーダ(北海道)@\(^o^)/ [RU]:2017/03/11(土) 07:13:43.89 ID:bIA92P5b0.net
- ふざけんな税金返せ
(39歳無職)
- 37 : 稲妻レッグラリアット(東京都)@\(^o^)/ [US]:2017/03/11(土) 07:25:43.06 ID:HhaabF6Z0.net
- クレカ流出騒動は常に蚊帳の外だったけど、
今回は喰らった可能性がある
- 38 : シャイニングウィザード(空)@\(^o^)/ [US]:2017/03/11(土) 07:30:45.06 ID:CNP7HHAz0.net
- 機能よりバグ潰しきったプログラムくれ
- 39 : エルボーバット(東日本)@\(^o^)/ [US]:2017/03/11(土) 07:33:57.48 ID:Dgw4mXye0.net
- で、誰も責任をとらないと
無責任国家日本
責任を意識して何もしないくせにw
- 40 : クロイツラス(北海道)@\(^o^)/ [US]:2017/03/11(土) 07:58:05.53 ID:CXH2538h0.net
- GMOってダイヤルQ2の会社だよな
- 41 : ダイビングエルボードロップ(大阪府)@\(^o^)/ [US]:2017/03/11(土) 08:30:21.45 ID:npj1GF5R0.net
- >>29
GMOも無料のボランティアじゃないからなあw
- 42 : ドラゴンスープレックス(やわらか銀行)@\(^o^)/ [CN]:2017/03/11(土) 09:06:51.79 ID:LzC2STOT0.net
- 都税をダイヤルq2サイトが代行してる時点で
おわってるよ
- 43 : 張り手(石川県)@\(^o^)/ [ニダ]:2017/03/11(土) 10:11:27.76 ID:yxwbCnK80.net
- ケチらずWindowsサーバにしとけば良かったのに
- 44 : ラダームーンサルト(新疆ウイグル自治区)@\(^o^)/ [US]:2017/03/11(土) 10:27:30.85 ID:/j4ptlSm0.net
- 何故に暗号化しねーんだ?
どんな馬鹿でも生では置かねーだろ
- 45 : ニーリフト(東京都)@\(^o^)/ [ニダ]:2017/03/11(土) 10:46:34.83 ID:tIyikgoY0.net
- 情弱だからひたすらセブンででナナコ払いしてたお陰で助かったわ
- 46 : クロスヒールホールド(神奈川県)@\(^o^)/ [ニダ]:2017/03/11(土) 12:25:27.72 ID:BTLxhb2/0.net
- あーstrutsのやつか
うちも大慌てで対応してたな
- 47 : シューティングスタープレス(catv?)@\(^o^)/ [GB]:2017/03/11(土) 14:09:30.46 ID:6XHFinos0.net
- 自動車税クレカ払いの人はオールアウト?
めんどくせ
- 48 : オリンピック予選スラム(東京都)@\(^o^)/ [ニダ]:2017/03/11(土) 14:11:32.30 ID:uVTCyRLC0.net
- |
つ∀´> クックックw
| ノ
- 49 : テキサスクローバーホールド(dion軍)@\(^o^)/ [EG]:2017/03/11(土) 14:14:15.68 ID:hCPtMT1e0.net
- た、立命館?
- 50 : セントーン(空)@\(^o^)/ [ニダ]:2017/03/11(土) 14:15:27.68 ID:f44xOfsx0.net
- 軽自動車の私はセーフ
- 51 : クロスヒールホールド(大阪府)@\(^o^)/ [US]:2017/03/11(土) 14:15:41.64 ID:5P+RdRI80.net
- これ完全にアカンやつ
- 52 : セントーン(東京都)@\(^o^)/ [PH]:2017/03/11(土) 14:25:39.82 ID:UpwKjias0.net
- まだStruts使ってんの?
- 53 : メンマ(庭)@\(^o^)/ [GB]:2017/03/11(土) 14:35:04.10 ID:6nIqe12j0.net
- だからデビットカードにしとけと言ったろうが
- 54 : ジャンピングエルボーアタック(茸)@\(^o^)/ [US]:2017/03/11(土) 14:57:20.35 ID:B68HvWXs0.net
- これ注意情報でてたのにな
- 55 : ジャーマンスープレックス(茸)@\(^o^)/ [BR]:2017/03/11(土) 15:38:03.64 ID:55kFi3cD0.net
- 全部ヤクザに蓄積されている
- 56 : クロイツラス(庭)@\(^o^)/ [ヌコ]:2017/03/11(土) 18:45:55.08 ID:LrzqNNn40.net
- 今年から国税のクレカ収納も始めたとこなのにね
ちょうど確定申告の時期ってことで微妙な事件だねぇ
ついでに月曜の株価ヤバそう
金曜引け値時点PERは88.2倍、時価総額2437億と人気あっただけに
見方変えれば買い時到来とも言えるか
- 57 : ドラゴンスリーパー(チベット自治区)@\(^o^)/ [US]:2017/03/11(土) 19:09:03.08 ID:zPuaT5eL0.net
- 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか
高木浩光@自宅の日記
http://takagi-hiromitsu.jp/diary/20170310.html
- 58 : ブラディサンデー(大阪府)@\(^o^)/ [US]:2017/03/11(土) 19:12:00.45 ID:60e+9Iqx0.net
- 恐らくすでに5000億円とかの規模で被害が出ていると思われる。
- 59 : ドラゴンスリーパー(チベット自治区)@\(^o^)/ [US]:2017/03/11(土) 20:14:04.27 ID:zPuaT5eL0.net
- 全てがただ漏れした住宅金融支援機構組は全く洒落になってないんだが
セキュリティコードまでお漏らしとか、犯人お買い物し放題やん
これ今までで最悪のお漏らしじゃないの?
なんで2chですら全く騒ぎになってないの?
- 60 : エルボーバット(やわらか銀行)@\(^o^)/ [JP]:2017/03/11(土) 20:19:45.65 ID:MGAhmB2+0.net
- こりゃマイナンバーも確実にお漏らしするな
- 61 : 河津落とし(茸)@\(^o^)/ [ニダ]:2017/03/11(土) 20:24:03.33 ID:kb2eXV0Z0.net
- セキュリティコードお漏らしってどんなシステム作ってたんだよ
- 62 : ダイビングフットスタンプ(SB-iPhone)@\(^o^)/ [FR]:2017/03/11(土) 20:25:57.76 ID:/TtklEqS0.net
- こういうシステム組んでる会社が叩かれず行政やら大元の企業が叩かれるのはなんでやろうな
- 63 : ダイビングエルボードロップ(空)@\(^o^)/ [ニダ]:2017/03/11(土) 20:30:27.75 ID:QJZPBtJw0.net
- GMOなんて聞いたことない会社使うからしゃあーねーべな
- 64 : ニールキック(禿)@\(^o^)/ [CN]:2017/03/11(土) 20:32:05.67 ID:izF9cfmE0.net
- だからクレカなんか使わねえってんだよ
バカだなコイツら
- 65 : マシンガンチョップ(茨城県)@\(^o^)/ [JP]:2017/03/11(土) 20:38:30.79 ID:rY84eNGl0.net
- 毎回どこかしらでお漏らししてるのになぜクレカ情報を握り続けるのか
- 66 : ヒップアタック(dion軍)@\(^o^)/ [ZA]:2017/03/11(土) 20:43:55.88 ID:M/5SZ07w0.net
- なんか一般公開前に情報もらえなかったっけ
- 67 : スパイダージャーマン(禿)@\(^o^)/ [EU]:2017/03/11(土) 20:53:19.12 ID:2pPsqNoe0.net
- >>57
ひろみちゅ久しぶりに見た
- 68 : バーニングハンマー(庭)@\(^o^)/ [US]:2017/03/11(土) 23:18:30.44 ID:n3Wa/I9Z0.net
- ここはガッキーのお詫びヌードで
- 69 : ニールキック(チベット自治区)@\(^o^)/ [ニダ]:2017/03/12(日) 06:21:34.30 ID:K1Lj98aU0.net
- >>64
プリぺなら便利やん
- 70 : ニールキック(庭)@\(^o^)/ [US]:2017/03/12(日) 18:32:24.29 ID:jpDmkD4F0.net
- 現段階で確信して言えないけど、暗号化されたデータが盗られた"可能性がある"ってだけの発表でしょ?
仮に盗られててもキーが無きゃ復号できないし
可能性があるという早期段階での発表は良い事と見るけどね
更に仮に復号化に成功して不正利用されたとしてもカード会社が処理と返金してくれるわけだし、これを未然に防ぐ為にカード再発行しておけばユーザー被害ゼロで済む
被害額算定はカード再発行費用位でしょ
あと、そもそもカード情報はセンシティブ情報だけど個人情報じゃないし騒ぎだけ先行しすぎ
明日以降の詳細ニュース待つ
- 71 :名無しさんがお送りします:2017/03/12(日) 20:28:46.35 ID:6z5QGmbfu
- >>70
楽観的すぎではないかな?
どうして暗号化されたデータだと言えるの?
暗号化されてたら安心を促すためその旨の説明があるっしょ。
ちなみに、スレチかも知れんが住宅金融支援機構側は
4万件以上 個人情報も含んで以下が流出した可能性があるもよう。
クレジットカード番号、クレジットカード有効期限、セキュリティコード
住所、氏名、電話番号、生年月日
そもそもセキュリティコードのデータを残してるとか本当なにやってんだか…
- 72 : TEKKAMAKI(東京都)@\(^o^)/ [US]:2017/03/13(月) 12:04:03.76 ID:9HJ+b8T30.net
- いまのところ可能性だけだね。
特許庁(停止中) https://www.j-platpat.inpit.go.jp/
jstage(停止中 http://www.jstage.jst.go.jp
JETRO https://www.jetro.go.jp/news/announcement/2017/694a96ddf47971f2.html
法政大学 ttp://www.hosei.ac.jp/NEWS/gaiyo/170310_01.html
住宅金融支援機構 ttp://www.jhf.go.jp/topics/topics_20170310_im.html
- 73 : 栓抜き攻撃(西日本)@\(^o^)/ [ニダ]:2017/03/13(月) 13:18:26.96 ID:fMO061al0.net
- >>70
機構団信のほうは、こんだけお漏らししてるんですが。
カード番号・有効期限・セキュリティコード・申込日
住所・氏名・電話番号・生年月日・メールアドレス・加入月
- 74 :名無しさんがお送りします:2017/03/14(火) 00:30:30.22 ID:SecAgchwE
- カード番号は暗号化はされてたんだな。すまんな。 >>70
とは言え、70 発言時点のソースはどこなんだろ?
http://internet.watch.impress.co.jp/docs/news/1049261.html
2017年3月13日 20:40
GMO-PGによると、いずれもクレジットカード番号は暗号化処理された状態だったという。
一方、住宅金融支援機構のサイトにおいては、クレジットカード番号・有効期限のほか、セキュリティコード、住所、氏名、電話番号、生年月日なども含まれている。
セキュリティコードの情報は、カード業界のセキュリティ標準であるPCI DSSによりシステムで保持してはならないことになっているが、今回の不正アクセス被害で調査するまで、セキュリティコードを保持していることをGMO-PGでは認識していなかったとしている。
しかし、調査するまでセキュリティ標準に沿えてない件を把握してないとかひどい…
総レス数 74
18 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★