被害に遭った企業がたくさんあった「S2-045」、中でも特に2つのサイトに関心が集まっていました。1つは「東京都税 クレジットカードお支払サイト」、1月に運営組織がよく分からないと話題となっていたサイトです。
GMOペイメントゲートウェイが運営する「東京都税 クレジットカードお支払サイト」と「団体信用生命保険特約料クレジットカード支払いサイト」は「S2-045」が公開されて早々に攻撃を受け、クレジットカード情報など個人情報72万件が流出した可能性があるということです。
「事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについて」(http://www.jhf.go.jp/topics/topics_20170310_im.html)
もともと1月に話題になったことに加え、最初に大きな被害が報告されたということ、それに加えて流出した内容が都税の支払いを行った方の個人情報、さらにセキュリティコードまで盗まれてしまったこと、これが注目を集めた理由のようです。
クレジットカードを取り扱う業者が準拠すべきものとしてPCI DSS(Payment Card Industry Data Security Standard)というルールがあります。これによるとセキュリティコードは保存してはいけないもの。税金を扱うサイトなのにルールに違反していたのではないかと疑問を持たれていました。一方で、保存していたのではなく、ログが盗まれてそこにセキュリティコードが記載されていたのではないかという意見もありました。
Copyright © ITmedia, Inc. All Rights Reserved.