「都税クレジットカードお支払いサイト」不正アクセス事件の調査報告書

ざっとしか読んでないですが。

GMO-PG では、2008 年 12 月に最初の PCI DSS 認証を取得し、年次での再認証監査を 8 回経た上で、2016 年 12 月に最新の認証を取得しており、クレジットカード情報 を取扱う事業者として要求されるべき一定レベルの情報セキュリティ体制を具備して いたものの、本件ではそのような体制が Apache Struts 2 の未知の脆弱性を突いたゼロデイ攻撃に対しては、奏功しなかったという事案である。

S2-045は脆弱性情報公開と同時に対策済みバージョンがリリースされているので、そもそもゼロデイ攻撃じゃないよね。8、9ページの時系列の情報の所にもApache Struts 2の対策済みバージョンリリースの情報が出てこないのはミスリードしたいんでしょうかね。

とはいえ、セキュリティ情報提供サービスからのS2-045の情報提供自体が遅いとか危険度情報がないとかかわいそうな感じがしなくもない。大量の脆弱性情報をひとつひとつ精査はしてられないだろうしな。リモートコード実行(RCE)とか書いていたなら、危機感もてよ、という感じもありますが。