海外Wi-Fiルーターのテレコムスクエア、クレジット情報流出

　海外滞在者向けのWi-Fiルーターレンタルサービスを提供するテレコムスクエアは、外部から同社サーバーへ不正アクセスがあり、クレジットカード情報を含む個人情報が流出したことを明らかにした。

　同社によれば、不正アクセスによって情報が流出したのは、特定の法人に向けて専用サイトを提供していたサーバーと、決済代行会社と通信するサーバー。前者は今年4月24日～30日、後者は今年2月5日に流出があったと見られている。

　情報流出の可能性があるユーザーかどうか、利用期間や対象サーバーによって異なる。特定法人向けサイトのサーバーでは、2008年7月1日～2013年4月30日までに利用したユーザーが対象となる。一方、決済代行会社と通信するサーバーでは2012年6月1日～10月4日の間に、「www.telecomsquare.co.jp」から申し込んだユーザーと、2012年10月15日～2013年2月5日に宅配便、空港の返却ボックスで返却したユーザーが対象。

流出の可能性がある情報

　テレコムスクエアが委託した調査によると、最大9万7438件の情報が流出した可能性がある。流出した情報は、不正アクセス対象のサーバーによって異なる。

　専用サイトを提供していたサーバーからは、ユーザーの社名・部署名、氏名、住所などのほか、クレジットカードの名義・番号・有効期限が流出した可能性がある。

　一方、決済代行会社と通信するサーバーからはカード番号と有効期限が流出した可能性がある。

　これらの情報はサーバー上で暗号化されていなかった。

　カード裏面に記されているセキュリティコードについては、テレコムスクエア側で保持していなかったとのこと。なお、これまでに270枚のクレジットカードの不正利用があったと報告されており、対象のクレジットカード情報は全て、カード会社が監視している。

ユーザーへの対応

　テレコムスクエアでは、対象ユーザーに、メールで個別に連絡する方針。

　カード再発行の場合、手数料はテレコムスクエアが負担する。ユーザーからクレジットカード会社へ問い合わせることで、再発行の手続きができる。

　これまでテレコムスクエアでは、対象ユーザーが特定の法人に限られていたとして、対象法人の専用サイトで情報を掲載し、情報流出を告知していたとのこと。しかし9月12日、カード会社から情報が追加され、個人ユーザーも含まれることが判明したことで、今回、同社サイトで情報流出を開示した。

これまでの流れ

　同社に対しては、8月1日にカード会社から連絡があり、翌2日、ベライゾンジャパンへ調査を依頼。8月9日時点で中間報告があったものの、その内容は、前者のサーバー（特定の法人向けサーバー）に偏っていたことから、一般には開示せず、対象法人に報告を開始した。

　最終報告書は8月29日に行われ、2773件のカード情報が流出した可能性があるとされたが、内部調査と報告書の内容を照らし合わせた結果、6441件の流出と判断。

　その後、先述したように9月12日、追加情報によって、個人ユーザーも含まれていたことが判明、流出件数は9万7438件と確定したという。急激に膨れあがったように見える対象件数だが、ログが消失していたことから流出データを特定できず、過去に一度でもサーバー上にあったデータ全てを含んでいる。

　既に同社では、クラウドサーバーから自社運営サーバーへ切り替え、ネットワークレベルでの侵入防止ツール、アプリケーションレベルの不正利用防止ツールを導入。あわせて24時間の有人監視体制を構築したとのこと。