GMOペイメントゲートウェイは10日、運営を受託している東京都の「都税クレジットカードお支払サイト」および独立行政法人住宅金融支援機構の「団体信用生命保険特約料クレジットカード支払いサイト」で第三者による不正アクセスが確認され、クレジットカード番号を含む個人情報が最大72万件流出した可能性があると発表しました(スラド)。
流出したデータは、都税クレジットカードお支払サイトからは、クレジットカード番号・クレジットカード有効期限を含むデータが67万件以上。団体信用生命保険特約料クレジットカード支払いサイトからは、クレジットカード番号・クレジットカード有効期限・セキュリティ
コード・カード払い申込日・住所・氏名・電話番号・生年月日を含むデータが4万件以上となっています。
Apache Struts 2の脆弱性S2-045は3月2日に公表され、3月7日には脆弱性に対応したStruts 2.3.32やStruts 2.5.10.1がリリースされているものの、対応が間に合わなかった模様です。
Apache Strutsはかねてからセキュリティ的に問題の多いフレームワークであると指摘されていて、今回の脆弱性もOGNLと呼ばれる独自言語の仕組みが原因とみなされているようです。