エクスコムグローバル、不正アクセスによる顧客情報流出について発表
エクスコムグローバル、不正アクセスによる顧客情報流出について発表
海外用のモバイルルーターや携帯電話のレンタルサービスを提供するエクスコムグローバル株式会社は、同社が運営する「GLOBALDATA」および「Global Cellular」のWebサーバに対して外部から不正アクセスがあり、専門調査会社で調査を実施したところ、不正アクセスによる顧客情報の流出が判明したと発表した。
同社は4月23日17時頃に、同社の契約先である決済代行会社よりクレジットカード情報の流出懸念について連絡があり、直ちに同サイトの申し込みの停止およびデータベースサーバ内のクレジットカード情報の削除を行い、さらにオンラインでのクレジットカード決済も停止した。また、4月24日に調査会社に対して調査の依頼を連絡した。
調査の結果、SQLインジェクションによる攻撃および同攻撃(不正取得)による顧客情報の流出の証跡が発見された。顧客情報を保持していたサーバには最大14万6701件のクレジットカード情報があり、同件数の顧客情報(カード名義人名、カード番号、カード有効期限、セキュリティコード、申込者住所)があった。不正取得により流出した件数はそのうち10万9112件で、2011年3月7日~2013年4月23日に申し込みのあった顧客情報が対象となる。
同社は顧客情報が流出した可能性のある顧客にメールで案内するとともに、問い合わせ窓口(コールセンター)も設置した。さらに対応策として、侵入経路の遮断および顧客情報の削除を行い、流出可能性があるクレジットカード番号を決済代行会社に提供して取引のモニタリングを依頼した。
また、クレジットカード情報を申込時に取得しない運用に切り替えて、同社の空港カウンターでの対面決済のみで取り扱うようにした。さらに当該サーバのシステム変更を行うとともに、第三者機関による脆弱性調査も実施。現在までに判明している脆弱性については改修済みとなっている。このほか、所轄警察署や所轄官庁への報告も行ったという。
GLOBALDATAのWebサイト