自動車税をクレジットカードで払うと、GMOペイメントゲートウェイから個人情報が流出する

gmo_payment_gateway_leak

昨年、自動車税をクレジットカードで払おう!という記事を書きました。
しかし、この都税クレジットカードお支払いサイトの運営を受託しているGMOペイメントゲートウェイから、個人情報が流出していることがわかりました。

2017年3月10日の「不正アクセスに関するご報告と情報流出のお詫び」について

流出したのは、

  • カード番号
  • 有効期限
  • メールアドレス
    とのことです。

IMG_4239

▲僕のカード番号と有効期限、メールアドレスも見事に流出したようで、お詫びの連絡が来ました。

今回はStrutsの脆弱性を突かれて、外部からプログラムを実行し、DBにアクセスされたようです。
JPCERTの情報を見る限り、Strutsでパーサを正しく設定して、サーブレットにフィルタをかけるなどの、一般的な攻撃対策をしておけば問題なかったようです。
GMOペイメントゲートウェイの開発スキルの低さが原因だということなのでしょうね。

今年も自動車税の納税の時期がやってきましたが、「都税クレジットカードお支払いサイト」は何もなかったかのように、GMOペイメントゲートウェイが運営しているようです。
僕は気分が悪いので、GMOペイメントゲートウェイを通さないように、コンビニで払ってきます。