ここから本文です

クレジット業界のセキュリティ基準「PCI DSS」は安全なのか(前編)

6/7(水) 12:44配信

THE ZERO/ONE

Apache Struts2は、Web上でJavaプログラムを動作させるライブラリ群からなるアプリケーションフレームワークである。Apache財団が運営するオープンソースプロジェクトであり、無償であること、成熟していることから多くの商用サイトで採用されている。

2つの衝撃

そのApache Struts2に重大な脆弱性が発見された。しかも、外部から権限の高いコマンドがほとんど実行できてしまうという致命的なもので、判明しているだけでも、都税クレジットカードお支払いサイト、住宅金融支援機構、日本貿易振興機構、特許情報プラットフォーム、日本郵便、沖縄電力、ニッポン放送などが被害を報告している。特に東京都税と住宅支援機構のサイトではクレジットカード情報を含む個人情報が流出したとされている。

「この事件は、関係者にとってこれまでにないショックがありました。ひとつは国内ではここ数年稀に見る約40万件流出という大規模なものであったこと。もうひとつは東京都税や住宅金融支援機構という公的機関からの流出であったこと。そして、PCI DSSに完全準拠している決済代行事業者が受託運営するサイトから流出が起きたということです。PCI DSS準拠企業では国内初の大規模なカード情報の流出事件となります」と、fjコンサルティング、瀬田陽介CEOは語る。

PCI DSSは、PCI SSC(Payment Card Industry Security Standards Council)が定めたData Security Standard。VISAやMasterCardなど主要な国際ブランドがカード情報を扱う事業者向けに定めたデータの保護基準だ。両サイトを運営するGMOペイメントゲートウェイ(以下GMO-PG)からは、再発防止委員会による「不正アクセスによる情報流出に関する調査報告書(2017年4月30日)」が公開されており、事件の全容を確認することができる。

「GMO-PGから公表されている報告を見る限り、この攻撃は、ゼロデイに近かったと言えます。PCI DSSに完全準拠していたとしても侵入そのものが防げていたかどうかは疑問です」(瀬田氏)。

Apache Struts2の脆弱性について、IPA(情報処理推進機構)のJPCERT/CCが注意喚起をしたのが3月8日 10時43分であった。同社が翌9日の18時ごろから影響調査を開始したところ、3月8日の4時54分から当該サイトへの攻撃が開始されていた(ただし3月6日の日本時間22時14分の段階でUS Apacheのサイトにて脆弱性情報が公開されているため、完全にゼロデイではない)。

「PCI DSSの要求事項では、脆弱性が公表されてから、重大なものについては1ヵ月以内にパッチをあてる対策を要求されています。この点だけ言えばPCI DSSにただちに違反しているとは言えません」(瀬田氏)。同社は、JPCERT/CCから注意喚起の翌日3月9日の21時56分には、この脆弱性に対して対策を取っている。

1/2ページ

最終更新:6/8(木) 17:20
THE ZERO/ONE