- -pv
スレッドの閲覧状況:
現在、- がスレを見ています。
これまでに合計 - 表示されました。
※PC・スマホの表示回数をカウントしてます。
※24時間表示がないスレのPVはリセットされます。

【IT/セキュリティ】都納税サイトから67万件情報流出か 不正アクセス確認[17/03/10]

1こたつねこ◆AtPO2jsfUI:2017/03/11(土)13:40:45 ID:qX1()
都納税サイトから67万件情報流出か 不正アクセス確認

東京都は10日、ネット上で都税を納められる都のサイトに不正アクセスがあり、利用者の
クレジットカード情報67万6290件が外部流出した恐れがあると発表した。情報の不正
利用は確認されていないというが、都は同日午前からサイトの運用を停止している。

都によると、流出の恐れがあるのは、「都税クレジットカードお支払サイト」を2015年
4月1日から今月9日午後11時53分までの間に利用した人の情報。サイト利用時に入力した
カードの番号やブランド名、有効期限、利用者のメールアドレスが対象という。

↓全文を読む場合は以下をクリック↓
http://www.asahi.com/articles/ASK3B73JZK3BUTIL05G.html

朝日新聞デジタル 2017年3月10日23時26分
2名無しさん@おーぷん :2017/03/11(土)13:47:41 ID:jxq
ソースに載って無いけど、これクレカのセキュリティーコードも漏れてるからね。
最悪。

https://www.release.tdnet.info/inbs/140120170310417212.pdf
3名無しさん@おーぷん :2017/03/11(土)13:52:31 ID:PfR
信頼できないサイトに個人情報を送った馬鹿の自己責任
4名無しさん@おーぷん :2017/03/11(土)13:52:51 ID:jxq
GMOのサイト
https://corp.gmo-pg.com/news_em/20170310.html?_ga=1.228079261.12566154.1489207549
5名無しさん@おーぷん :2017/03/11(土)13:57:46 ID:jxq
>>3
都がやってるサイトだぜ?
https://zei.tokyo/
6名無しさん@おーぷん :2017/03/11(土)14:02:39 ID:jxq
GMOは孫請け?らしくてトヨタファイナンスが都から委託受けてるようだけど
ソースでは報じられてない。

高木浩光@自宅の日記
■ 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか
http://takagi-hiromitsu.jp/diary/20170310.html
7名無しさん@おーぷん :2017/03/11(土)14:06:45 ID:jxq
なんかもうね

https://togetter.com/li/1067266
8名無しさん@おーぷん :2017/03/11(土)14:11:16 ID:PfR
>>5
一般企業と違って顧客の信用を失ったらもう終わりっていう危機意識が無いからな
9名無しさん@おーぷん :2017/03/11(土)14:11:52 ID:G0v
誰も責任はとりませんwwwざまぁwwww
10名無しさん@おーぷん :2017/03/11(土)15:01:03 ID:iKp
なんか怪しいと思ってたら案の定か
11名無しさん@おーぷん :2017/03/11(土)16:05:00 ID:l6l
あぁ、トヨタファイナンスとGMOが絡んで「運営の主体は誰なのか」とひろみちゅ先生が以前ツッコミしてた納税サイトだ。最悪。
12名無しさん@おーぷん :2017/03/11(土)16:20:50 ID:BCh
ネット上でクレジットカードを使うのは危険。
Pay-easyを使えばいいと思う。
13名無しさん@おーぷん :2017/03/11(土)16:43:38 ID:1vL
これは脆弱性が公開されてすぐに使われてしまった例で
ずっとアップデートを怠ってたわけではないらしい
14名無しさん@おーぷん :2017/03/11(土)16:45:20 ID:Csq
とりあえず、都民でなくてよかった
15名無しさん@おーぷん :2017/03/11(土)16:53:13 ID:1vL
http://internet.watch.impress.co.jp/docs/news/1048974.html
SSL/TLSで暗号化された通信経路で攻撃が行われた事例も確認しており、
こうした場合は、SSLアクセラレーターを設置するなど復号が可能な環境でなければ、
ネットワーク上で脅威に対応するIDS/IPSでは、検知は困難だという。

また、脆弱性を悪用する攻撃コードが一般的なリクエストURLではなく、
Content-TypeというHTTPヘッダーに挿入されるため、ウェブサーバーのログには
攻撃の証跡が記録されない可能性が高いとのこと。

さらに、一見存在しないファイルに対する攻撃でも、リクエストURLに指定されたパスで
最新版ではないApache Struts 2が稼働していれば、攻撃の影響を受けることを
確認しているとのことだ。
16名無しさん@おーぷん :2017/03/11(土)17:02:04 ID:vou
クレカね
17名無しさん@おーぷん :2017/03/11(土)17:03:56 ID:jxq
なるほどこれか。
しかしあっという間なんだな。

https://opensource.srad.jp/story/17/03/11/069252/
あるAnonymous Coward 曰く、
GMOペイメントゲートウェイは10日、同社が運営を委託されている
東京都の「都税クレジットカードお支払いサイト」と住宅金融支援機構の
「団体信用生命保険特約料クレジットカード支払いサイト」がApache
Struts 2の脆弱性を悪用した不正アクセスを受け、最大約72万件の
クレジットカード情報が流出した可能性があると発表した(不正アクセスに
関するご報告と情報流出のお詫び、 NHKニュースの記事、 ITproの
記事、 ITmediaビジネスオンラインの記事)。

同社はIPAとJPCERTが相次いでApache Struts 2の脆弱性に対する
注意喚起を行ったことを受け、社内システムの調査を9日に実施したところ、
不正アクセスの痕跡が確認されたという。都税サイトではクレジット
カード番号と有効期限が最大67万件以上、住宅金融支援機構サイトでは
カード番号と有効期限に加えセキュリティコードや住所・氏名・
電話番号・生年月日など最大4万件以上が流出した可能性がある。
決済サービスからの漏洩ということで範囲が大きくなっているようだ。

Apache Struts 2の脆弱性S2-045が最初に公表されたのは3月2日。
7日には既にエクスプロイトが出回っていたようだ。
18名無しさん@おーぷん :2017/03/11(土)17:09:41 ID:b8H
個人情報の流出は大問題だから、マスゴミは徹底追及すべきだが、
小池マンセーのテレビ局が多いから無理だろうな。
19名無しさん@おーぷん :2017/03/11(土)17:12:33 ID:1vL
>>5
https://zei.tokyo.jp/

油断できないよね
20名無しさん@おーぷん :2017/03/15(水)00:21:17 ID:uAj
日本郵便/「国際郵便マイページサービス」における不正アクセス及び情報流出の可能性
http://www.e-logit.com/loginews/2017:031405.php
> アプリケーションフレームワークである Apache Struts2 の脆弱性を利用した不正アクセスが発生し

こっちも同じやつか
これは次々と被害が出てくるかもしれないな
21名無しさん@おーぷん :2017/03/18(土)20:19:01 ID:QYd
Apache Struts2の脆弱性を突いた攻撃、カナダの国税庁のサイトも被害
http://businessnewsline.com/news/201703160157460000.html

アプリケーションフレームワークであるApache Struts2の脆弱性を突いた
攻撃により、東京都の都税クレジットカード支払サイトや住宅金融支援機構団
信特約料クレジットカード払いサイトなどから個人情報の大量流出が
生じた問題に関連して、同じ攻撃手法により、カナダの国税庁に相当する
Canada Revenue Agency (CRA) も被害を受けていたことが判った。

ただし、カナダのCBCでは、CRA担当者の発言として、攻撃を受けた
後、直ぐにサイトを閉鎖するなどの対応を取ったため、この攻撃による
個人情報の流出は生じていないとしている。
22名無しさん@おーぷん :2017/03/20(月)18:19:16 ID:YjL
GMO社が被害を受けたStruts 2(CVE-2017-5638)問題で我々は何を学ぶべきか?
http://qiita.com/gakuri/items/f70cf6c10fbb846335d5
23警備員◆OQUvCf9K4s :2017/03/20(月)19:07:17 ID:ZLf
どうせFセキュアだろ。
24名無しさん@おーぷん :2017/03/20(月)19:28:31 ID:Fyu
うわぁー…マジかよ

新着レスの表示 | ここまで読んだ

名前: mail:





【IT/セキュリティ】都納税サイトから67万件情報流出か 不正アクセス確認[17/03/10]