パスワードを忘れた? アカウント作成
13186885 story
情報漏洩

Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か 66

ストーリー by headless
後手 部門より
あるAnonymous Coward 曰く、

GMOペイメントゲートウェイは10日、同社が運営を委託されている東京都の「都税クレジットカードお支払いサイト」と住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」がApache Struts 2の脆弱性を悪用した不正アクセスを受け、最大約72万件のクレジットカード情報が流出した可能性があると発表した(不正アクセスに関するご報告と情報流出のお詫びNHKニュースの記事ITproの記事ITmediaビジネスオンラインの記事)。

同社はIPAJPCERTが相次いでApache Struts 2の脆弱性に対する注意喚起を行ったことを受け、社内システムの調査を9日に実施したところ、不正アクセスの痕跡が確認されたという。都税サイトではクレジットカード番号と有効期限が最大67万件以上、住宅金融支援機構サイトではカード番号と有効期限に加えセキュリティコードや住所・氏名・電話番号・生年月日など最大4万件以上が流出した可能性がある。決済サービスからの漏洩ということで範囲が大きくなっているようだ。

Apache Struts 2の脆弱性S2-045最初に公表されたのは3月2日7日には既にエクスプロイトが出回っていたようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2017年03月11日 15時37分 (#3174650)

    >住宅金融支援機構サイトではカード番号と有効期限に加えセキュリティコード

    セキュリティコード漏洩は言い訳がきかぬ。

    • by Anonymous Coward on 2017年03月12日 12時01分 (#3175085)

      セキュリティコードは本来はカード会社以外が保管する必要もないはずだが...
      これはダメすぎる

      親コメント
    • by Anonymous Coward

      元Q2屋がやられたんかw

      • by Anonymous Coward

        GMOペイメントって言う名前をみて、ちょっと嫌な予感はしたんだけど流石に東京都も
        それなりの審査はしてるんじゃないかと思ったんだが、ダメだったか・・・。

        年末のカゴヤの件 [kagoya.jp]に続いて、またってのは痛すぎるし、面倒くさすぎる・・・。
        よりによって、カードも違うので、もう一回手続きかよ・・・。
        こんどはあっちこっちの定期引き落としになってるからものすごい手間だぞ。

        #業務委託者の責任もあると思うのだが、どうなんだろ?

  • by Anonymous Coward on 2017年03月11日 15時37分 (#3174651)

    なぜ、保存しないはずのセキュリティコードが流出とかされるのだろう。
    システム組むときに、誰も注意しないのだろうか。

    • by Anonymous Coward

      保存してなくても入力フォームに攻撃者のサイトに入力内容を送信するJavaScriptを埋め込まれたりしたら普通に漏れる。
      あとはバックエンドの決済システムへ入力されたカード情報を流す部分に細工されるとか。
      ただ、今回の場合はすぐに具体的な数字が出てるので、ガチで保存してたっぽい気がするけど。

    • by Anonymous Coward

      パスワード平文よりひどいというか、故意を疑うレベルですね。

  • by Anonymous Coward on 2017年03月11日 16時29分 (#3174674)

    「リモートから任意のコードを実行」なのだから、「まず直ちにシステムを停止せよ」とアナウンスすべきなんじゃ。
    ヤバさがちゃんと伝わってないよ。。

    とか書いても、「じゃあ週明けの月曜日にやりますわ」となりそうな悪漢。

    • by Anonymous Coward on 2017年03月11日 16時36分 (#3174677)
      親コメント
    • by Anonymous Coward

      いくらヤバさが伝わっても、
      「でもそれ(=運用すること)で金もらってるんだから(絶対に止めない)」
      っていう管理職やら経営者やらが多数いる以上、
      どうしようもないでしょうね。

      できることは保身だけ。

    • by Anonymous Coward

      「リモートから任意のコードを実行」と言っても、
      たいていは「悪意あるユーザが○○にアクセスできる状態であれば」
      といった前提条件付きのことも多いし。

      で今回、自分もその類だと思っていて、ファイルアップロード処理が云々とかあるから、
      ファイルアップロードできる状態に限定されるのかとも思っていた。
      StrutsのMLに流れた修正版のリリースアナウンスも、
      "This release addresses one potential security vulnerability" なんて表現になっていた。
      正直、PoCコード見るまで緊急性を感じなかった。

      「直ちにシステムを停止」という言い方が乱用されても困るけど、
      「『直ちにシステムを停止』してもいいぐらいのレベル」であることが伝わる必要があるのは同意。

  • by Anonymous Coward on 2017年03月11日 16時51分 (#3174682)

    DBには保存してなくても、ついログに出力しちゃってたりする事もあるから
    ほんと気をつけないとだめだよね。

    うっかりどっかに残ってしまうのを防ぐアイデアってあるんだろうか。
    SQLインジェクション防ぐならプリペアードステートメント使うのがセオリーとか
    XSS防ぐならテンプレートエンジンを正しく使うとか
    そんなノリで。

    • by Anonymous Coward on 2017年03月12日 1時53分 (#3174969)

      Unixの伝統として、書ける権限あるなら読めるのが普通、って感覚が良くない気がする。
      ログなんて本当はアプリは書き込み権限だけでいいんだよ。

      親コメント
      • by Anonymous Coward

        誤ってログに機密情報を出力してしまうのは、そのアプリの権限の問題ではないでしょう。

        そもそも「書ける」ということは「書き込む情報を持っている」わけですから、
        書き込んだ先をアプリから読めなくしたところで意味がないです。

        やるとすれば「ログも機密情報の一部とみなして、暗号化するか権限をきちんと設定する」になるのでは。

        以前のプロジェクトでは、ログを含めDB以外に機密情報を出さないようにするため、
        受け入れ時にソースコードの静的解析ツールを走らせて、機密情報のクラスの何か(メソッド、フィールドほか)を
        ログクラスのパラメータに与えているのを調べさせて、引っかか

      • by Anonymous Coward
        Unixの伝統だとsyslogdに投げるだけでアプリは書く権限も読む権限も持ってなくね?
        アホが書いたcommons loggingのアホな設定がコピペで蔓延してるだけだと思うぞ
    • by Anonymous Coward

      二軍の昇格組がまず慣れるために行う責任は軽くそれでいてセキュアに留意しないと簡単に破たんする
      もっと適当なWebシステム開発案件が有ればいいんだよ。

  • by Anonymous Coward on 2017年03月11日 17時24分 (#3174696)
    • by Anonymous Coward

      げげ、これまじか?
      東京都の業務委託だと信じきって使ったのだが。
      ほとんど詐欺に近いな・・・。

  • by Anonymous Coward on 2017年03月12日 1時38分 (#3174965)

    クレカもネットバンクも個人的に許容できるリスク内の金額で、メインバンクは別に複数持つ
    地域の信金とかあまりネットワークと繋がっていない金融機関をメインバンクに使うとなお良い

    • by Anonymous Coward

      >地域の信金とかあまりネットワークと繋がっていない金融機関をメインバンクに使うとなお良い
      はい?

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...