海外渡航者向け無線 LAN(Wi-Fi)モバイル ルーターのレンタル サービス「イモトのWiFi」を手がけるエクスコムグローバルは、同社の無線 LAN(Wi-Fi)/USB 端末レンタル サービス「GLOBALDATA(グローバルデータ)」および携帯電話レンタル サービス「Global Cellular(グローバルセルラー)」を運営するサーバーが SQL インジェクション攻撃を受け、クレジット カード情報を含む顧客情報の10万9,112件が外部へ流出したと発表した。これら情報には、クレジット カードの名義人名、番号、有効期限、セキュリティ コードなどが含まれていた。同社はクレジット カードの国際的なセキュリティ基準である PCI DSS(Payment Card Industry Data Security Standard)を取得していない。

「イモトのWiFi」運営会社で10万件超の情報流出、クレジットカードの番号やセキュリティ コードも
GLOBALDATA の「イモトのWiFi」
(出典:エクスコムグローバル)

エクスコムグローバルは4月23日17時ごろ、契約している決済代行会社からクレジット カード情報が流出した懸念があるとの連絡を受けた。これにともない、同日中に GLOBALDATA/Global Cellular で利用申し込みの受付を止め、データベース用サーバーからクレジット カード情報を削除。また、オンライン クレジット カード決済も停止した。翌日の4月24日に決済代行会社から紹介された調査会社と連絡をとり、4月26日に調査を委託した。

調査の結果、SQL インジェクションを受けたことが判明。2011年3月7日から2013年4月23日に申し込みを行った顧客について、10万9,112件のクレジット カード名義人名/番号/有効期限/セキュリティ コードと住所が外部へ流出したことを確認した。ちなみに、顧客情報の入っていたサーバーには、最大で14万6,701件のクレジット カード情報があったという。

情報流出の被害を受けたと思われる顧客に対しては、メールまたは郵便などで案内を送付した。電話(0120-112-107)による問い合わせも受け付ける。さらに、流出した可能性のあるクレジット カード番号を決済代行会社に提供し、4月30日より不正使用が行われていないかどうかのモニタリングを順次行っている。

セキュリティ対策としては、不正アクセス防止用サーバーと既存サーバーに対して侵入防御/検知ハードウェアを導入。さらに、データベース用サーバーに接続する際の ID とパスワードをすべて変更した。また、サーバーの脆弱性調査を実施し、必要な改修を施したとしている。今後は、クレジット カード情報を保持しないで決済する「リンクタイプ決済」方式へ切り替える計画。

なお、調査開始から被害状況を確認できるまで時間がかかったことに対し、エクスコムグローバルは謝罪した。

お詫びが掲載された Global Cellular の Web サイト (出典:エクスコムグローバル)
お詫びが掲載された Global Cellular の Web サイト
(出典:エクスコムグローバル)