昨年、自動車税をクレジットカードで払おう!という記事を書きました。
しかし、この都税クレジットカードお支払いサイトの運営を受託しているGMOペイメントゲートウェイから、個人情報が流出していることがわかりました。
2017年3月10日の「不正アクセスに関するご報告と情報流出のお詫び」について
流出したのは、
- カード番号
- 有効期限
- メールアドレス
とのことです。
▲僕のカード番号と有効期限、メールアドレスも見事に流出したようで、お詫びの連絡が来ました。
今回はStrutsの脆弱性を突かれて、外部からプログラムを実行し、DBにアクセスされたようです。
JPCERTの情報を見る限り、Strutsでパーサを正しく設定して、サーブレットにフィルタをかけるなどの、一般的な攻撃対策をしておけば問題なかったようです。
GMOペイメントゲートウェイの開発スキルの低さが原因だということなのでしょうね。
今年も自動車税の納税の時期がやってきましたが、「都税クレジットカードお支払いサイト」は何もなかったかのように、GMOペイメントゲートウェイが運営しているようです。
僕は気分が悪いので、GMOペイメントゲートウェイを通さないように、コンビニで払ってきます。