都税と住宅金融支援機構からクレジットカード情報が流出

平成29年3月10日に決済代行会社のGMOペイメントゲートウェイの発表をITProなど多くのメディアが報道しました。東京都の都税支払サイトと住宅金融支援機構の団信生保特約料支払サイトなどから最大で72万件のクレジットカード情報が流出した可能性があるとのことです。

流出した情報は、カード情報、有効期限、メールアドレスなどで、住宅金融支援機構のケースでは、セキュリティコード、住所、氏名、電話、生年月日なども含まれている可能性があるそうです。当初は、外部委託先からの流出で、しかも、それが最大手の決済代行会社からとは報道されませんでしたので、筆者は、また、役所がいい加減な管理をしていたのかと思っていました。流出元がGMO−PGだと知って、専門業者がやられたのかと驚いた次第です。同社株は、同日、ストップ安と大きく売られました。原因究明にフォレンジック調査を進めるとともに、クレジット会社などと利用者の被害防止と救済の方法を協議中だとしています。

流出の経緯は、JavaのWebアプリケーションフレームワークApacheStruts2の脆弱性を突かれた模様です。この脆弱性は3月6日にたまたま攻撃が検知され、IPAが8日に注意喚起、それを受けてGMO−PGが9日午後6時から影響調査を実施、不正アクセスの跡を確認したとのことです。SOCの観測では、同種攻撃は、7日に150件前後、8日は400件弱、9日に500件弱と増えています。IPAによれば、ApacheStruts2のJakarta Multipart parserのファイルアップロード処理でリモートから任意のコードを実行される脆弱性があるとのことです。中国などでは、既に攻撃コードが公開されているそうです。

攻撃者が中国にいるのかは判りませんが、決済代行会社を狙うとは良い標的を知っているものです。彼等にとっては宝の山でしょう。GMO−PGはセキュリティ対策に力を入れていた筈ですが、当該脆弱性の発見が一歩遅かったということになります。都税と住宅金融支援機構のクレジットサイトの他に被害が拡がらなければ良いのですが。東京都主税局は、既に、本件をリリースして関係者に謝罪していますが、住宅金融支援機構は何も発表していません。内部では情報収集等に大騒ぎしているのでしょうが、インシデントに対する態勢の整備状況が押し図られます。

都の場合は、トヨタファイナンスを指定代理納付者とし、その再委託先にGMO−PGを使っています。とはいえ、利用者に対する一義的な責任は都にあります。これが銀行であれば、委託先管理はどうなっているのだと大騒ぎになるでしょう。今国会での銀行法改正案に関して、一部自民党議員が、電子決済代行業者を登録制にすることに異論を唱えました。規制を緩めろと言うのです。結局は金融庁が運用を緩めるということで、登録制が維持されました。今回のようなインシデントが起きると利用者やメディアは、関係企業と所管省庁を責めます。立法に携わる人達は、リスクに対してバランスの取れた配慮をすべきです。ましてや、ITに詳しいと自認するのであれば、セキュリティの実状くらいは勉強しておくべきです。一般に、電子決済代行業者になろうとする企業は、GMO−PGよりも、セキュリティ要員も予算も数段少ない。

このニュースと同じ10日、法政大学が不正アクセスを受けて、学生や教職員など4万人以上のアカウント情報が流出したとITProが報道していました。こちらは、学生証番号、氏名、学内用メールアドレス、暗号化パスワード等が流出したそうです。不正なVPN接続でポートスキャンを受けていたことに気付き、調査したところ、アカウント情報を取得したログが確認されたとのこと。サーバーを隔離して影響調査をするとともに、関係者にはパスワードの変更を依頼したそうです。これで済むのですから、金融機関からすると羨ましい限りです。

大学や教育委員会などは、セキュリティ・インシデントが多いと聞きます。一昨年の5、6月には早稲田、東大と立て続けに標的方攻撃で大きな被害を出しました。その後も、大きく報道されないものの、西日本を中心に多くの大学や教育委員会が攻撃を受けています。理由は単純で、技術面での防御が甘い、研究機関に価値のある情報が蓄積されている、関係者のセキュリティ・リテラシーが低いなどがあるそうです。

最近では秘密分散技術を使った割符で端末認証を装備する機関が増えているそうです。エンドユーザーは、自分の使うデバイス数台に割符をインストールするだけ。OTPも利用するのですが、ユーザーがOTPを入力するわけではなく、システムが自動照合する。セキュリティでは、利用者にやたら対応を求めると、使われないか、無視されるだけです。今のIBなどは、銀行が一生懸命に使われないようにしています。

都税などのケースも秘密分散技術を使ってファイルを割符化しておけば、持ち出したデータは意味がなく、割符がなければ復元不可能なビットの山ですから、関係者やメディアに謝罪しないで済んだと思います。秘密分散技術は、魔法でも、万能薬でもありませんが、手軽に、しかも、強力にデータを保護する技術であることは確かです。日本はこの分野で世界の先端をいくそうですが、実際に活用しているのは役所の一部だけです。セキュリティベンダーが積極的に提供しないのは、安いので儲からないからかなどと疑っています。一度、調べておくことをお奨めします。

                     (平成29年3月13日 島田 直貴)