「イモトのWiFi」のグローバルデータ、不正アクセスでカード情報11万件流出 セキュリティコードや住所も

[ITmedia]

　タレントのイモトアヤコさんがCMキャラクターを務める「イモトのWiFi」など海外渡航者向け通信機器レンタルサービスを提供するエクスコムグローバルは5月27日、海外用データ通信レンタルサービス「GLOBAL DATA」（グローバルデータ）と、海外用レンタル携帯電話サービス「Global Cellular」（グローバルセルラー）のWebサーバがSQLインジェクション攻撃を受け、約11万件のクレジットカード情報やセキュリティコードが流出したと発表した。

　同社によると、4月23日午後5時ごろ、契約先の決済代行会社から、クレジットカード情報が流出した可能性があると連絡を受け、サイトからの申し込みとオンラインでのカード決済を停止。サーバ内のクレジットカード情報を削除した。24日、専門調査会社Payment Card Forensics（PCF）に調査依頼を連絡し、26日に調査を委託したという。

　PCFがログを解析した結果、ユーザー情報流出の痕跡を発見。サーバに保有されていた最大14万6701件のカード情報のうち、2011年3月7日〜13年4月23日に申し込まれた10万9112件のカード名義人名、カード番号、有効期限、セキュリティコード、申込者の住所が流出したことが判明した。

　対策として4月23日から、申込時にカード情報を受け取らない運用に切り替え、5月2日にはサーバにファイアウォールと侵入防御・検知ハードウェアを導入するとともに、データベースサーバに接続するためのID・パスワードを変更した。また、4月26日からPCFによるサーバの脆弱性調査を行い、改修を加えたという。今後はオンライ決済時にもクレジットカード情報を保持しない運用に切り替えるなどして安全性高める。

　情報が流出したユーザーにはメールや郵送で連絡するとともに、自社サービスで利用できる3000円分のクーポンをメールで送付。問い合わせ専用のコールセンターも設置した。西村誠司社長の月額報酬30％を約3カ月間減額する処分も発表している。

　同社は、「多大なるご迷惑およびご心配をお掛けする事態に至りましたこと、深くお詫び申し上げます」と謝罪。カード情報が流出した可能性が判明したのは4月23日、PCFが調査を開始したのは同26日で、発表まで1カ月以上の時間がかかっている。

　同社は発表が遅れた理由について、「最終報告書が出てから発表したほうがいいと判断した」と説明。5月21日に最終報告書が出てから発表まで1週間かかったことについては、「最終報告書が出た後も関係各所の調整に時間がかかった」ためとしている。ニュースリリースでは、「4月26日の調査開始から正確な被害状況の確認までに、お時間を要してしまいましたことを重ねてお詫びを申し上げます」と謝罪している。