20170311

不正アクセスに関するご報告と情報流出のお詫び




東京都 都税クレジットカードお支払サイト
主税局徴収部徴収指導課
独立行政法人住宅金融支援機構 団体信用生命保険特約料クレジットカード支払いサイト

トヨタファイナンス株式会社(指定代理納付者)
GMOペイメントゲートウェイ株式会社(再委託業者)

不正アクセスに関するご報告と情報流出のお詫び

指定代理納付者から各カード発行会社に対して、情報が不正に取得されたクレジットカードについての再発行手数料を無料とするよう要請しております。
*******************************************************
【外部リンク】
https://zei.tokyo/

東京都税 クレジットカードお支払サイト

    申し訳ございません。
    ただいまお取扱いできません。

【外部リンク】
https://zei.tokyo/
都税 クレジットカードお支払サイト
東京都主税局
受託事業者
(指定代理納付者)
  トヨタファイナンス株式会社
サイト移転のお知らせ

「都税 クレジットカードお支払サイト」は下記のサイトに移転しました。
お手数ですが、下記のURLからお手続きください。

https://zei.metro.tokyo.lg.jp

なお、60秒経過すると自動で遷移します。

都税 クレジットカードお支払サイト
********************************
【外部リンク】
http://www.tax.metro.tokyo.jp/oshirase/2017/20170314.html
「都税クレジットカードお支払サイト」への不正アクセスに関するお知らせ
平成29年3月28日

平成29年5月12日
「都税クレジットカードお支払サイト」の再開について
再開日時
平成29年4月24日(月)午前9時

(本件に関する過去のお知らせ)
平成29年5月1日 (お知らせ)「都税クレジットカードお支払サイト」への不正アクセスに係る対応について
平成29年4月24日 (お知らせ)「都税クレジットカードお支払サイト」への不正アクセスに係る対応について
平成29年4月19日 (お知らせ)「都税クレジットカードお支払サイト」への不正アクセスに係る対応について
平成29年4月14日 (お知らせ)「都税クレジットカードお支払サイト」への不正アクセスに係る対応について
平成29年4月5日 (お知らせ)「都税クレジットカードお支払サイト」への不正アクセスに係る対応について
平成29年3月28日 (お知らせ)「都税クレジットカードお支払サイト」への不正アクセスに係る対応について
平成29年3月15日 (お知らせ)「都税クレジットカードお支払サイト」への不正アクセスに係る対応について
平成29年3月14日 (お知らせ)「都税クレジットカードお支払サイト」への不正アクセスに係る対応について
平成29年3月10日 (報道発表)「都税クレジットカードお支払サイト」における不正アクセスについて

【外部リンク】
http://www.tax.metro.tokyo.jp/oshirase/2017/frequently_asked_questions.html

よくあるお問合せ内容

項番 お問合せ ご回答
1 私のクレジットカード情報は不正取得されたのですか。 平成27年4月1日から平成29年3月9日までの間に、本サイトをご利用になられた方は情報が不正取得されました。
2 どのような情報が不正取得されたのですか。

クレジットカード情報
カード番号、有効期限
※セキュリティコードは含まれておりません。

メールアドレス
なお、氏名(カード名義)、住所、電話番号等、その他の情報は含まれておりません。
3 クレジットカード情報が悪用される恐れはありますか。 指定代理納付者から各カード発行会社に対して、不正利用の防止を目的に、情報が不正に取得されたクレジットカードによる取引のモニタリング実施を要請しております。
4 カードの再発行をしたいのですが。 指定代理納付者から各カード発行会社に対して、情報が不正に取得されたクレジットカードについての再発行手数料を無料とするよう要請しております。
詳しくは、カード裏面に記載のあるカード発行会社までお問合せをお願いいたします。
また、カード会社によっては、会員向けWebサイトにおきまして、カード再発行を受け付けているカード会社がございますので、ご確認ください。
5 再開後のお支払サイトは安全ですか。 セキュリティ専門会社による調査結果を踏まえ、セキュリティ対策及び再発防止策を実施し、お支払いサイトの安全性を確認しております。
6 どのようなセキュリティ対策・再発防止策を行ったのですか。

ソフトウェアの脆弱性について修正を行うとともに、サイト全体の安全性を総点検し、システム変更や監視体制の強化を行いました。

カード情報やメールアドレスは、サーバ内に保持しない等の措置を講じました。

サイトの運用面においては、運用基準を見直し、危機管理体制を強化しました。
*******************************************************

【外部リンク】
http://www.tax.metro.tokyo.jp/
http://www.tax.metro.tokyo.jp/oshirase/2017/20170310.pdf
平成29年3月10日
主税局
「都税クレジットカードお支払サイト」における不正アクセスについて
都税のクレジットカード納付を行うために、受託事業者が運営している
「都税クレジットカードお支払サイト」について、外部からの不正アクセスにより、
クレジットカード情報とメールアドレスが流出した
おそれがあることが判明しました。
このため、「都税クレジットカードお支払サイト」については、平成29年3月10
日11時15分より利用利用を停止しております。
受託事業者
トヨタファイナンス株式会社(指定代理納付者)
GMOペイメントゲートウェイ株式会社(再委託業者)
※GMO問合せ窓口
電話番号0120-180-600
対応時間3月10日(金)16時30分~13日(月)10時までは
24時間対応、以降は平日10時~18時まで対応
(問合せ先)主税局徴収部徴収指導課直通03-5388-2984
*******************************************************

【外部リンク】
https://zei.tokyo/announce.html
「都税クレジットカードお支払サイト」をご利用いただいた方への重要なお願い」

流出の可能性のあるデータ

(1)対象となる方(流出の可能性のある方)
・平成27年4月1日~平成29年3月9日の期間に「都税クレジットカードお支払サイト」をご利用の方
(2)対象となる情報
1. クレジットカード情報
 カード番号、有効期限
 ※クレジットカードのセキュリティコードは含まれておりません。
2. メールアドレス
 なお、氏名(カード名義)、住所、電話番号など その他の情報は流出した可能性のあるデータには
 含まれておりません。
*******************************************************
【外部リンク】
https://corp.gmo-pg.com/news_em/20170310.html
2017年3月10日
お客様各位
GMOペイメントゲートウェイ株式会社
不正アクセスに関するご報告と情報流出のお詫び
運営受託しております東京都様の都税クレジットカードお支払サイトおよび独立行政法人住宅金融支援機構様の団体信用生命保険特約料クレジットカード支払いサイトにおいて、第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。
2017年5月1日 続報

「再発防止委員会の調査報告等に関するお知らせ」を開示いたしました。

詳細につきましては、下記URLをご参照ください。
URL:https://corp.gmo-pg.com/newsroom/pdf/170501_gmo_pg_ir-kaiji-02.pdf

2017年4月19日 続報

2017年4月19日、東京都主税局様より発表の『「都税クレジットカードお支払サイト」の再開について』にございます通り、2017年4月24日(月)9:00より「都税クレジットカードお支払サイト」を再開することとなりました。

弊社では、この度の事態発生の原因を踏まえた再発防止策を実施し、第三者の専門会社による監査で安全性を確認いたしました。この内容をもって、委託元のトヨタファイナンス株式会社様及び東京都主税局様の合意を得ましたため、2017年4月24日(月)9:00より「都税クレジットカードお支払サイト」を再開することとなりました。

なお、「団体信用生命保険特約料クレジットカード支払いサイト」の再開時期は未定でございますが、一日も早い再開に向けて取り組んでおります。

2017年4月17日 続報

弊社不正アクセスによる個人情報の不正取得に関して、経済産業省より2017年4月24日までに報告を求められておりました個人情報保護法に基づく報告を、本日2017年4月17日、再発防止委員会による検証を踏まえ「個人情報の保護に関する法律第32条の規定に基づく報告について」として、経済産業省へ提出いたしました。

2017年4月14日 続報

「都税クレジットカードお支払サイト」「団体信用生命保険特約料クレジットカード支払いサイト」への不正アクセスにつきまして、セキュリティ専門会社及び弊社調査の結果、不正に取得された情報数が以下のとおり確定しました。

「都税クレジットカードお支払サイト」
・クレジットカード番号・有効期限:364,181
・メールアドレス:362,049

「団体信用生命保険特約料クレジットカード支払いサイト」
・クレジットカード番号・有効期限:40,872
・セキュリティコード(※):31,124
・メールアドレス(※):28,552
・住所:39,085
・電話番号:37,380
・氏名・生年月日:36,377
当初発表しておりました件数(https://corp.gmo-pg.com/news_em/20170310.html#em00)から減少した理由は、当初発表した件数は重複した情報(同一カードで複数回支払いをされたお客様等)を含む最大値であり、その重複分を除いたためとなります。
現時点では不正に取得されたクレジットカード情報の不正利用は確認されておりません。

2017年4月4日 続報
情報流出の状況について、2017年3月10日より、セキュリティ専門会社であるPayment Card Forensics株式会社による調査を実施してまいりました。
2017年3月31日付「最終インシデント調査報告書」において、以下3点を確認しております。
「都税クレジットカードお支払サイト」への不正アクセスが確認され、「クレジットカード番号、有効期限、メールアドレス」の情報が不正に取得されたことが判明いたしました。
不正アクセスの対象は、2017年3月10日ご報告の内容と変わりございません。
「団体信用生命保険特約料クレジットカード支払いサイト」への不正アクセスが確認され、2017年3月10日ご報告の情報が不正に取得されたことが判明いたしました。
不正アクセスの対象は、2017年3月10日ご報告の内容と変わりございません。
上記2サイト以外の弊社サービスにつきましては、不正アクセスは確認されませんでした。
本報告内容を厳粛に受け止め、再発防止策、セキュリティ強化に努め、一日も早い再開に向けて全力で取り組んでまいります。

2017年3月30日 続報
GMOの商標・商号を騙る業者から、至急の連絡を求める不審なSMS(※)が届くとの情報がございました。
GMOペイメントゲートウェイ株式会社およびGMOインターネットグループでは、折り返しの連絡を求めるSMSをお客様へお送りすることはございません。

2017年3月17日 続報
セキュリティコード及びメールアドレスは、「団信クレジット払い専用サイト」によりクレジットカード払いの申込みを行ったお客様に限り流出した可能性があります。

2017年3月14日 続報
「再発防止委員会」の設置について

2017年3月13日 続報

不審な電話、メール、手紙、訪問にご注意ください。

2017年3月12日 続報

・当初発表しておりました流出件数は最大値(延べ数)であったため、現在実際に流出可能性のあった件数を精査中です。具体的には、重複したクレジットカード情報(同一カードで複数回納付されたお客様)を特定しております。

*******************************************************
【外部リンク】 ※2017/5/4現在
https://www.toyota-finance.co.jp/oshirase/index.php
お知らせ
2017年
2017.04.24
「都税クレジットカードお支払サイト」再開のご報告
4月19日にご報告させていただきました「都税クレジットカードお支払サイト」について、 本日より再開されましたことをご報告させていただきます。
https://www.toyota-finance.co.jp/oshirase/detail.php?id=1424

2017.04.19
「都税クレジットカードお支払サイト」への不正アクセスに関するご報告
https://www.toyota-finance.co.jp/oshirase/detail.php?id=1413

3月10日に公表しました「都税クレジットカードお支払サイト」への不正アクセスに関しまして、納税者様および関係者の皆様にはご心配とご迷惑をおかけしておりますことを心よりお詫び申しあげます。このたび、本サイトについて、システムセキュリティ対策を講じるとともに、安全性の確認も完了いたしました。つきましては、「都税クレジットカードお支払サイト」を下記の通り再開することといたしましたのでご報告させていただきます。

2017.04.14
続報「不正アクセスに関するご報告とお詫び」
「都税クレジットカードお支払サイト」への不正アクセスにつきましてご報告させていただきます。
https://www.toyota-finance.co.jp/oshirase/detail.php?id=1412

2017.04.05
続報「不正アクセスに関するご報告とお詫び」
「都税クレジットカードお支払サイト」への不正アクセスにつきましてご報告させていただきます。
https://www.toyota-finance.co.jp/oshirase/detail.php?id=1402

【外部リンク】
https://www.toyota-finance.co.jp/oshirase/detail.php?id=1382
2017.03.14
続報「不正アクセスに関するご報告とお詫び」
【外部リンク】
http://www.toyota-finance.co.jp/oshirase/detail.php?id=1378
2017.03.10

不正アクセスに関するご報告とお詫び

当社が東京都様より都税の収納代行業務の指定を受け、運営しております「都税クレジットカードお支払いサイト」におきまして、サイトの運営を委託しておりますGMOペイメントゲートウェイ株式会社(以下、GMO-PG社)のサイトに第三者による不正アクセスが確認され、情報が流出した可能性があることが判明いたしました。

対象:平成27年4月から平成29年3月までの同サイト利用者
・クレジットカード情報
  カード番号、カード・ブランド、有効期限
  *カード番号については暗号化処理された情報
  67万6290件
・メールアドレス
  上記のうち 61万4629件

【外部リンク】
https://www.toyota-finance.co.jp/oshirase/detail.php?id=1402
2017.04.05
続報「不正アクセスに関するご報告とお詫び」
「都税クレジットカードお支払サイト」への不正アクセスにつきましてご報告させていただきます。
情報流出の状況について、2017年3月10日より、セキュリティ専門会社であるPayment Card Forensics株式会社による調査を、サイト運営委託事業社であるGMOペイメントゲートウェイ株式会社を通じて実施し、詳細調査の結果についてご報告させていただきます。
*******************************************************
【外部リンク】
http://www.jhf.go.jp/topics/topics_20170419_im.html
事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出について<続報3>
「現在の対応状況及び不正取得された件数について」
2017年4月19日現在

【外部リンク】
http://www.jhf.go.jp/topics/topics_20170328_im.html
事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについて<続報2>
「お客さまへのお詫びとお願いについて」
2017年3月29日現在
事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについては、お客さまに多大なご心配とご迷惑をおかけしておりますことを深くお詫び申し上げます。

個人情報が流出したおそれがあるお客さまへ、状況のご説明、お客さまへのお願い、特約料のお支払方法につきまして、ご案内を郵送させていただきます。
お手元に届きましたら、大変お手数ではございますが、ご確認いただきますようお願いいたします。
「お客さまへのお詫びとお願い」の送付について
「機構団信特約料クレジットカード払いをご利用のお客さまへのお詫びとお願い」の書面を、特約料のお支払い月が4月であるお客さまから順次、特定記録郵便にて送付させていただきます。

【外部リンク】
http://www.jhf.go.jp/topics/topics_20170317_im.html
事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出のおそれについて<続報1>
2017年3月17日現在
1 流出したおそれのある情報
クレジットカード番号、クレジットカード有効期限、セキュリティコード(※)、カード払い申込日、住所、氏名、電話番号、生年月日、団信加入月、メールアドレス(※)

 (※)セキュリティコード及びメールアドレスにつきましては、団信クレジット払い専用サイトによりクレジットカード払いの申込みを行ったお客さまに限り流出したおそれがあります。

【外部リンク】
http://www.jhf.go.jp/topics/topics_20170310_im.html
事務委託先であるGMOペイメントゲートウェイ株式会社のシステムへの不正アクセス及び個人情報流出について
2017年3月10日現在
今般、当機構の団体信用生命保険特約制度のクレジットカード払いに係る事務を委託しているGMOペイメントゲートウェイ株式会社より、同社の機構団体信用生命保険特約料クレジットカード支払いサイトに対して不正なアクセスがあり、当機構のお客さまの個人情報が流出した可能性があるとの報告を受けました。
本件に関するお問合せ先
GMOペイメントゲートウェイ株式会社
専用ダイヤル:0120-151-725(フリーダイヤル)
住宅金融支援機構のお問合せ先
<お客さまからのお問合せ先>
TEL 0120-907-522
受付時間 9:00~17:00(祝日、年末年始を除き、土日も営業しています。)
※2017年3月10日(金)については、上記の番号にて20時までお電話を承ります。
※2017年3月18日(土)~3月20日(月)は休業します。
<報道関係の方からのお問合せ先>
経営企画部広報グループ 麓、熊谷、瀬戸口
TEL 03-5800-8019

【外部リンク】
http://www.jhf.go.jp/customer/yushi/danshin/card.html
住宅金融支援機構
機構ホーム > 個人のお客さま > お借入れをお考えのお客さま > 機構団体信用生命保険特約制度のご案内 > 機構団信特約制度のお手続・お申込みに関するご案内 > 特約料のクレジットカード払いの手続き
クレジットカード払いに関するお問い合わせ先
お客さまコールセンター(団信カード払い専用ダイヤル)
営業時間9時~17時(土日、祝日、年末年始は休業)
0120-0860-91(通話無料)
*******************************************************
【外部リンク】
https://www.jhfdcard.jp/
クレジットカード払いのお申込み
申し訳ございません。ただいまお取扱いできません。
■このため、平成29年3月10日11時30分以降、当サイトの取扱いを停止させていただい
 ております。

■申請書によるクレジットカード払いのご申請(変更のご申請を含む)も、
 当サイトと同様に取扱いを停止させていただいております。
(申請書をご送付いただいた場合は一旦ご返却させていただきます。)

■現在、セキュリティ専門会社による調査結果を踏まえ、再発防止策・セキュリティ
 強化に取り組んでいるところです。
 このため、当サイト及び申請書によるクレジットカード払いの受付の再開について
 は未定です。
※お問合せ窓口  機構団信カード払い専用ダイヤル
 0120-086-091(受付時間 平日 9:00から17:00)

*******************************************************

【外部リンク】
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
情報セキュリティ
更新:Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)(S2-046)

最終更新日:2017年3月21日
---2017/3/21 更新---
開発者によると、「S2-045」と同様の脆弱性が別の箇所にも存在していたとのことです。
「S2-046」の 影響を受けるバージョン、対策方法は「S2-045」と同様で、すでに「S2-045」の対策バージョンを使用していれば影響はありません。アップデートを適用していない場合には、開発者が提供する情報をもとに大至急、最新バージョンへアップデートをしてください。
概要

Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを作成するためのソフトウェアフレームワークです。
Apache Struts 2 には、「Jakarta Multipart parser」のファイルアップロード処理に起因する、リモートで任意のコードが実行される脆弱性(CVE-2017-5638)が存在します。

本脆弱性が悪用された場合、遠隔の第三者によって、サーバ上で任意のコードを実行される可能性があります。
参考情報

    公式情報
    S2-045
    https://struts.apache.org/docs/s2-045.html
    Security Bulletins S2-045
    https://cwiki.apache.org/confluence/display/WW/S2-045

    検証報告
    Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
    https://www.jpcert.or.jp/at/2017/at170009.html
    CVE-2017-5638 - 脆弱性調査レポート
    https://www.softbanktech.jp/information/2017/20170308-01/
    TrendLabs Security Intelligence BlogCVE-2017-5638: Apache Struts 2 Vulnerability Leads to Remote Code Execution - TrendLabs Security Intelligence Blog
    http://blog.trendmicro.com/trendlabs-security-intelligence/cve-2017-5638-apache-struts-vulnerability-remote-code-execution/

    検知報告
    Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について
    https://www.lac.co.jp/lacwatch/alert/20170310_001246.html
    Apache Struts Remote Code Execution Vulnerability (CVE-2017-5638)
    https://devcentral.f5.com/articles/apache-struts-remote-code-execution-vulnerability-cve-2017-5638-25617
    Apache Struts Vulnerability (CVE-2017-5638) Exploit Traffic
    https://community.rapid7.com/community/infosec/blog/2017/03/09/apache-jakarta-vulnerability-attacks-in-the-wild
    Twitter:NTTセキュリティ・ジャパン株式会社
    https://twitter.com/NTTSec_JP/status/839132398210031616
    https://twitter.com/NTTSec_JP/status/839833649839128576

    その他
    Apache Struts2 に任意のコードが実行可能な脆弱性
    https://jvn.jp/vu/JVNVU93610402/
    CVE-2017-5638
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-5638
    Apache Struts2一覧情報
    https://www.ipa.go.jp/security/announce/struts2_list.html

*******************************************************
【外部リンク】
https://www.jpcert.or.jp/at/2017/at170009.html
JPCERT-AT-2017-0009
                                                             JPCERT/CC
                                                      2017-03-09(新規)
                                                      2017-03-21(更新)

                  <<< JPCERT/CC Alert 2017-03-09 >>>

           Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
遠隔の攻撃者が、細工した HTTP リク
エストを送信することで、Apache Struts 2 を使用するアプリケーション (Struts
アプリケーション) を実行しているサーバにおいて、任意のコードを実行する
可能性があります。脆弱性の詳細については、Apache Software Foundation の
情報を確認してください。
VI. 参考情報

    Apache Struts 2 Documentation
    Version Notes 2.3.32
    https://struts.apache.org/docs/version-notes-2332.html

    Apache Struts 2 Documentation
    Version Notes 2.5.10.1
    https://struts.apache.org/docs/version-notes-25101.html

    Apache Software Foundation
    Download a Release of Apache Struts
    https://struts.apache.org/download.cgi

    Apache Struts 2 Documentation
    S2-045 : Possible Remote Code Execution when performing file upload based on Jakarta Multipart parser.
    https://struts.apache.org/docs/s2-045.html

    Apache Struts 2 Documentation
    Alternate Libraries
    https://cwiki.apache.org/confluence/display/WW/File+Upload#FileUpload-AlternateLibraries

    独立行政法人情報処理推進機構 (IPA)
    Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)
    https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html

    JVNVU#93610402
    Apache Struts2 に任意のコードが実行可能な脆弱性
    https://jvn.jp/vu/JVNVU93610402/

【関連】
都税クレジットカードお支払いサイト 自動車税
都税とは
固定資産税 クレジットカード支払い
都民税 クレジットカード
東京都 自動車税 納税証明書
自動車税クレジットカード支払い
都税クレジットカード 情報流出
都税クレジットカード 自動車税
都税 クレジットカード 手数料
都税 クレジットカード ポイント


--

注目の投稿

Shadowserver Foundation http://65.49.1.117/

Shadowserver Foundation port 14491 discarded for LINK-FRMWRK: NO ENTRY IN LOOKUP TABLE TO COMPLETE OPERATION, GigaEthernet2.0 Wistron Neweb ...

人気の投稿