【株式】GMO−PGがストップ安売り気配、都税支払いサイトでカード情報流出 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
https://kabutan.jp/news/marketnews/?b=n201703130207
10日、GMOペイメントゲートウェイ <3769> が不正アクセスにより、クレジットカードの番号などを
約72万件の情報が流出した可能性があると発表したことが売り材料視された。
発表によると不正アクセスがあったのは、東京都の都税クレジットカード支払いサイトと、
住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイト。調査の結果、クレジットカード番号や
クレジットカードの有効期限、メールアドレスなどの情報が流出した可能性があることが分かったという。
同社では今後クレジットカード会社と協議の上、対応を進めるとしている。発表を受けて、
個人情報流失による補償問題などを懸念する売りが殺到した。株価は1000円ストップ安の5560円売り気配 正直GMOグループ好きじゃないけど
逃げるにしても、GMO-PG以上にセキュリティちゃんとしている所って探すと、
実はあまりない。 >>113
業界事情は知らないが、
うちの自治体は、クレカで納税する場合は Yahoo! の公金支払いが指定されているが?
機構団信にしても、事務委託先は一般競争入札で決めてるだろ? >>112
解約出来ない契約?w
そんなことないだろwww
GMOの関係者か?www 今月24日が経産省への報告提出期限。
締切落とすとブラックリスト載るかもなw 特設サイトのみということですから、ログファイルのマスク処理を忘れていたとかですかね? >>121
調査結果として漏洩が確定した 情報の数が記載されてますね。
団信の紙面での申し込みでも漏洩したことが明記されてますね。
不思議なのは団信側の漏洩した「カード払い申込日(加入月)」の数が出てない所ですね。
第一報ではわざわざ分けて記載してたのに何でだろ?
加入月の一番古いのが何時だったのか気になりますな。 >>122
GMO-PG、機構、suumoの情報を突き合わせると、こんな感じかと。
・紙での申し込み受付 → 2014年5月〜
・webでの申し込み受付 → 2014年8月〜
・クレカ払い → 2015年1月〜
GMO-PGのプレスリリース
2014年7月10日
https://corp.gmo-pg.com/newsroom/press/gmo-paymentgateway/2014/1048.html
> 2015年1月以降の団信特約料よりクレジットカード払いが可能となります
住宅金融支援機構のプレスリリース
機構団信特約制度「特約料クレジットカード払い」の開始について
2014年8月1日
http://www.jhf.go.jp/customer/yushi/danshin/topics_20140801.html
SUUMOジャーナル
2015年1月22日
http://suumo.jp/journal/2015/01/22/76771/
> 2015年1月からクレジットカードで支払うことができるようになった。 >>123
念のため追記。
紙での申し込み受付開始が2014年5月開始というのは、GMO-PGのプレスリリースの注釈 (*4) 。 >>123
クレカ払いは2年ちょい前から始まったものなのね。
セキュリティコードもこの頃から持っていたとすると、
PCI-DSSに非準拠な状態を2年以上も続けていた可能性があるのか。
上記基準策定に関わっている PCI-SSC POのGMO-PGは、
この件に関して誰から適正になったと保証してもらえるんだろう?
単純にクレカ取り扱いはやめちゃうだけとかなのかな?
また、他のGMO-PGのサービスでも以下で記載されていたよう
「セキュリティコードの保持を認識していなかった」とならないよう調査はしてるのかな?
http://internet.watch.impress.co.jp/docs/news/1049261.html
先の調査結果では「他は不正アクセスが確認されなかった」ことしか報告されてないからなぁ。 ほんと。この会社の他のサービスでは、セキュリティコードの扱いはどうだったんだろうね。
「カード業界のセキュリティ標準であるPCI DSS に完全準拠」で且つ「プライバシーマークの認定取得済」「事業所全てを対象にISO27001への適合認証を取得済」と聞けば、
それなりのしっかりした管理の仕組みがあってきっちり運用されているのだろうと、他人は受け取るよね、普通。
それが、「今回の不正アクセス被害で調査するまで、セキュリティコードを保持していることをGMO-PGでは認識していなかった」とな?
実際のところ、どういう管理をしてたんだ? この類のこと、経産省から具体的に報告しろと指示されてるんじゃ無いかな? >>129
経済産業省への報告ですか。
GMO-PGがどこまでを個人情報として扱い報告したのか
経済産業省が詳細を発表してくれることを期待してます。 経産省からのプレスリリース、なかなか出ないですね。
今回の情報漏洩ですが、氏名と生年月日がセットで3万6千件以上流出している。これは本当にシビアな話だと思う。
ローンを組むぐらいの年齢になると、氏名はそうそう変えないし、まして生年月日は一生変わらない。 今年はクレカ払いで納税しようかと思っていたんだけど
やめたわ
ポイント分節約になってもカード情報漏洩では割に合わない 住宅金融支援機構 続報3
「現在の対応状況及び不正取得された件数について」
http://www.jhf.go.jp/topics/topics_20170419_im.html
> ※2 平成29年3月9日までにインターネットサイトからカード払いの登録を行われたお客さ まのみが対象となります。
と「セキュリティコード」&「メールアドレス」について記述されてた。
期限の最初が指定されてないってことは
漏洩データはサイト開設以来3/9までに登録された全データなんだろうなぁ。 都税クレジットカードお支払いサイトが 4/24 再開。
https://zei.tokyo
■再開日時
平成29年4月24日(月)午前9時
■実施した対策
○ ソフトウェアの脆弱性について修正を行うとともに、サイト全体の安全性を総点検し、システム変更やサーバ監視体制の強化を行いました。
○ カード情報やメールアドレスは、サーバ内に保持しない等の措置を講じました。
○ サイトの運用面においては、運用基準を見直し、危機管理体制を強化しました。
今後も安全なサイト運営のために、セキュリティ対策の強化を継続してまいります。 >>136
「カード情報やメールアドレスは、サーバ内に保持しない等の措置を講じました」って。
当初のサイト設計システム設計に問題があったということ?
なぜ、最初からそういう仕組みにしなかったのかな? >>137
これまでの対応から判断すると、こんな感じかなと思っています。
カード情報やメールアドレスをWebサーと別のところに保存すると、
管理する機器が倍になるので利益重視のため同じ場所に置きました。
今回は、経産省・都・トヨタから改善を求められたので、コストを掛けました。
被害者への対応は文書連絡で済ませて、これ以上の対応はコスト増に
なるので、このままうやむやにして放置する方針です。 政府は人口統計を改ざん、人口急減を隠している
葬儀件数が死亡数の3分の1以下しかないのは、
通夜、告別式、初七日のすべてを行なった正式な葬儀だけを数えているからである。
最近流行の家族葬、直葬、DIY葬はこの数字に含まれない。
https://twitter.com/東海アマ/status/855169166990389249
2014/04/26
(千葉)三匹いた犬が!!一匹去年失踪、一匹脳梗塞で去年死亡。
残る一匹も2年前に甲状腺ガンにかかり衰弱中
甲状腺癌は、ソフトボールより大きく呼吸するのも苦しそう(写真)
https://twitter.com/neko_aii/status/855036073696567297
4月20日
信州大で生まれた奇形の中の奇形。
オナジマイマイですが、左巻。さらに目が4つ。ワケわからん。(写真)
https://twitter.com/0381Tm/status/854933043257028609 >>138
同感ですね。被害者はこのまま放置されそうですね。
住宅金融支援機構側も都税側と同じように再開が進まないのは何でだろ?
トヨタファイナンスが間にいたから都税側は改善速度が速かったとかなのかな? GMO-PG がうやむやに終わらせたくても、行政が放っておかないんじゃないかな。
特に機構団信。不正に取得された情報は、個人情報保護法の第二条で定義された個人情報そのもので、件数も3万件以上と多い。
この件にきちんと対応しないと、今後、マイナンバーの活用を制度化する上で支障が出てくるだろう。
だから、経産省が個人情報保護法に基づいて >>58 の通り報告徴収に動いたんだと思う。
個人情報保護委員会
https://www.ppc.go.jp/personal/legal/
個人情報の保護に関する法律
http://law.e-gov.go.jp/htmldata/H15/H15HO057.html
(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの
(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。 >>143 に追記。
GMO-PG は、4月17日に経産省に報告を提出したとプレスリリースを出しているが。
経産省のニュースリリースには、まだ、GMO-PGから報告が提出されたとは出ていない。
「内容精査中」であって、受理されていないということではないかな。
経産省 > ニュースリリース
http://www.meti.go.jp/press/ >>143
つうても、gmo-pgは悪意を持った第3者に
不正に情報を盗まれた被害者でもあるから、
どこまで追求されるものなのかね。
gmo-pgのセキュリティ対応の初動が遅くてデータ盗まれたため信用は落ちても
政府から法的責務として強く責められるものがあるのかなぁ?
上記個人情報保護法は難しすぎて今回の盗まれたケースがどう当てはまるかよくわからんかった。
せっかく貼ってくれたのにスマソ。
唯一明確な違反はセキュリティコード保持によるPCIDSS違反だろうけど、
これの取り締まりは政府でなくてカード会社みたいだからなぁ。
◼pcidss faq
https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/What-are-the-fines-and-penalties-assessed-to-companies-for-non-compliance-with-the-PCI-DSS
◼PCI DSSへの準拠は義務か
http://www.jcdsc.org/topics/vol03.php >>144
期限が「4月24日(月曜日)までに書面で報告」 とのことだから
期限後になんらかの説明があることを期待しましょう >>146
ベネッセの例だと2カ月後に経産省から勧告出てます 都税のサイトが再開した。
https://zei.metro.tokyo.lg.jp/
FAQに「Q.このサイトは安全ですか。A.サイトにてご入力いただく納付情報・
クレジットカード情報については、SSLによる暗号化を行い保護されています。
ご安心ください。」と記載してるが、問題はそこじゃないだろと突っ込み入れたい。
サイトからGMOの記載が消えたのは笑える。 >>148
ホントw
確かにGMOの記載が消えてるw
↓
Q10
なぜ都税クレジットカードお支払サイトのURLを変更したのですか。
A10
都税クレジットカードお支払サイトをより多くの方に安心してご利用いただけるよう、平成29年4月24日よりLG.JPドメイン名(※)を使用したURLに変更しました。
※LG.JPドメイン名はインターネット空間において地方公共団体を表す属性型JPドメイン名です。 地方公共団体以外は使用できないため、疑似ドメイン名を使用したフィッシングサイト等への対策として有効なほか、地方公共団体が管理するサイトであることが分かり易くなります。
なお、都税クレジットカードお支払サイトは、指定代理納付者として東京都の指定を受けたトヨタファイナンス株式会社が運営を行っています。 >>149
以前のドメインzei.tokyoはGMO所有だから、URL変えたのか 都税のサイトは、東京都の責任の下、都民の税金使って運営されている、と。
ならば、都が所有するドメイン名への変更はある意味当然のことだよね。
そもそも、税金使って運営されているサイトで、特定の民間企業名をあげて「〇〇〇(企業名)だから安心、安全です」などという文章を記載することが問題。
そういう「常識」の無さが積み重なって今回みたいな事態になったんじゃないのか?
何十万人もの個人情報を扱うなら、それなりの機器使うなり対策するなり、最初から手を打って当たり前だろう。 文書を送付しただけで、それ以外のお詫びはないのかよ。やりたい放題だな。 >>152
おわびの文章送付とクレジットカード再発行手数料の負担以外は
対応しないそうだ。 GMO とやら、個人情報の漏洩による損害は、クレジットカード関係だけしか思いつかないのか? >>145
GMO-PG の法的責任というと、まずは個人情報保護法の第20条、安全管理措置ではないかな。
個人情報取扱事業者は、「個人データの漏えいや滅失を防ぐため、必要かつ適切な保護措置を講じなければなりません」っての。
個人情報保護委員会 > 個人情報保護法とは
https://www.ppc.go.jp/personal/general/ >>153
まあ裁判したところで数千円レベルの賠償だからな、企業のやりたい放題。 >>155
安全管理措置か。
住宅金融支援機構へ紙媒体で提出したのに漏れた人からすると、
GMO-PGがネットに繋がる端末にわざわざ情報を保存し漏洩リスクを高め、
実際に甚大な漏洩被害にあった、
と言うのが一番安全管理措置としてはひどそうにみえますね。
>>156
確かに。
集団訴訟が起きれば企業としては痛いだろうが
被害者へのリターンが少ないので誰も動かず、
やられ損で終わりそうですね。理不尽な世界だなぁ… ニュース解説
イオン銀行のシステム不備によるイオンカ―ド過剰請求、新たに約1万7500人に返金
今回、全ての調査が完了したと発表した。返金総額は4000万円に上る。
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/032700905/
現在は、利息を日割り計算できる機能を追加するシステム開発を進めているという。%ヾ >>158
決済のときに客からは見えてない後方で使われているんだから、客は避けられない >>160
見えないだけでなく、
GMO-PGは結構色々な決済に関わっているようなので、
そもそも避ける方が難しいかも。
https://corp.gmo-pg.com/newsroom/press/gmo-paymentgateway/2016/1205.html
> GMO-PGは、ネットショップやデジタルコンテンツなどのオンライン事業者、NHKや定期購入など月額料金課金型の事業者、
> 並びに日本年金機構や東京都等の公的機関など7万7,256店舗(GMOペイメントゲートウェイグループ2016年9月現在)の加盟店に、
> クレジットカードをはじめとする決済処理サービスを提供しております。 GMO-PGより続報
https://corp.gmo-pg.com/news_em/20170310.html#em10
「再発防止委員会の調査報告等に関するお知らせ」
として漏洩に関する過程がPDFにて上がってました ___ _
ヽo,´-'─ 、 ♪
r, "~~~~"ヽ
i. ,'ノレノレ!レ〉 ☆ 衆参の両院のそれぞれで、改憲議員が3分の2を超えております。☆
__ '!从.゚ ヮ゚ノル 総務省の、『憲法改正国民投票法』、でググって見てください。
ゝン〈(つY_i(つ いよいよ日本国憲法改正の、国民投票が実施されます。お願い致します。☆
`,.く,§_,_,ゝ,
~i_ンイノ ■ このスレッドは過去ログ倉庫に格納されています
