|
|
|
|
|
|
|
クレカ納税サイトから流出 問われる情報管理の安全性 |
|
都税のクレジットカード納付サイトを運営するGMOペイメントゲートウェイ(PG)は、3月11日までにクレカ納付の決済代行を受け付けるウェブサイトに不正なアクセスがあり、同サイトを利用した納税者67万人超の個人情報が流出した恐れがあると発表した。同社は2017年1月にスタートした国税のクレジットカード納付サイトの運営会社でもある。サイトの脆弱性を突かれたものとみられ、同ウェブサイトは10日午前以降、無期限で運用を停止している。
流出した可能性があるのは、15年4月から17年3月9日午前11時53分までにサイトを利用した人のクレジットカード番号、有効期限、メールアドレスの3種類の情報。流出規模は最大67万6290件に上るとみられる。
不正アクセスの原因は、サイトを作成するために使用したソフトウエア「Apache Struts2」の脆弱性だ。これを狙った不正アクセスは3月7日頃から急増し、8日には情報処理推進機構(IPA)が注意喚起したばかりだった。
被害を受けたのは、都税のクレカ納付サイトだけではない。同社が運営する住宅ローンの団体信用生命保険の特約料支払いサイトにも不正アクセスが加えられ、そちらでは4万件超の個人情報についてクレジットカード番号に加えてカードのセキュリティーコード、氏名、住所、電話番号、生年月日など、より多くの情報が流出した恐れがある。さらに運営会社は違うものの、同じソフトウエアを使用していた日本郵便の「国際郵便マイページサービス」でも、約3万件のメールアドレスが流出した。
事態を重くみたGMO−PGでは、臨時取締役会で再発防止委員会の設置を決定した。相浦一成社長を委員長として、法務やセキュリティーの専門家などを招き、情報管理体制の検証と再発防止に向けた取り組みに当たるという。本件との関連は不明だが、すでに「あなたのクレジットカード情報が流出しました。対策をする必要があるのでカード番号とセキュリティーコードを教えてください」という不審な電話があったとの報告もあり、被害者への対応と再発防止策の実行は急務だ。
16年度税制改正で導入された国税のクレカ納付は、17年1月に開始したばかり。都税では自動車税など一部の税目にしか認めていないが、国税では所得税、法人税、相続税など税目にほぼ制限がない。納付上限も1千万円と高額に設定されていて、納税者の母体数から言ってもクレカ納付の利用者数が将来的に都税を超えることは確実だ。代行決済を担うのは今回情報が流出した都税と同じGMO−PGだけに、もし同じことが起きれば、流出規模は都税の比ではないだろう。
今回の流出は特定のソフトウエアの脆弱性を狙われたものだったが、セキュリティーの世界では常に不正アクセスと対策の“いたちごっこ”の面があることから、今後同様の事態が起きない保証はない。GMO−PGと行政がどのような対応を取るのか、情報管理に対する姿勢が問われそうだ。
|
|
|
|
|
|
|
|
|
|
|
|
|
|