ニュース

「GLOBAL DATA」などにSQLインジェクション攻撃、カード情報10万9112件が流出

 エクスコムグローバル株式会社は27日、同社が運営するウェブサーバーに不正アクセスがあり、10万9112件のクレジットカード情報が流出したと発表した。

 海外渡航者向けのデータ通信サービス「GLOBAL DATA」と携帯電話レンタルサービス「Global Cellular」のウェブサーバーに対して、SQLインジェクション攻撃および顧客情報の不正取得の証跡が確認されたという。

 エクスコムグローバルによると、顧客情報を保持していたサーバーには、最大で14万6701件のクレジットカード情報(カード名義人名、カード番号、カード有効期限、セキュリティコード、申し込み者住所)があったという。

 このうち不正取得によって流出した件数は、10万9112件。2011年3月7日~2013年4月23日に申し込んだ顧客の情報が対象だとしている。情報流出の可能性がある顧客には5月27日、登録メールアドレスあてに案内メールを送信した。

 4月23日17時ごろ、エクスコムグローバルの契約先である決済代行会社からクレジットカード情報流出の懸念について連絡があり、ウェブサイトからの申し込みを停止するとともに、同日22時、データベースサーバー内のクレジットカード情報を削除した。さらに4月26日、クレジットカード会社認定の第三者調査専門機関であるPayment Card Forensics株式会社に調査を委託。その結果、5月21日付の最終調査報告書により、不正アクセスによる顧客情報の流出が判明したとしている。

 なお、4月27日からは、流出の可能性があるクレジットカード番号の情報を決済代行会社に提供し、金銭的被害が生じないようモニタリングを依頼しているという。また、従来は申し込み時にクレジットカード情報を取得していたが、4月23日23時からは空港カウンターでの対面決済でのみ取り扱うよう変更した。さらに今後は、エクスコムグローバルでクレジットカード情報を保持しない決済方式への切り替えに向けシステム開発を計画しているという。

該当ユーザーに送られた報告・謝罪メール

 エクスコムグローバルでは、ユーザーに対して多大な迷惑と心配をかけたこと、また、4月26日の調査開始から正確な被害状況の確認までに時間を要したことを謝罪。該当する顧客に対して、次回の利用申し込み時に使用できる3000円割引の特別優待券(クーポン)を6月上旬に発行すると伝えている。

(永沢 茂)