写真1●GLOBALDATAのWebサイト
写真1●GLOBALDATAのWebサイト
[画像のクリックで拡大表示]
写真2●Global CellularのWebサイト
写真2●Global CellularのWebサイト
[画像のクリックで拡大表示]

 エクスコムグローバルは2013年5月27日、同社が運営する海外用モバイルWi-Fiルーターレンタルサービス「GLOBALDATA」(写真1)と海外用携帯レンタルサービス「Global Cellular」(写真2)のWebサイトから、10万9112件のクレジットカード情報が流出したと発表した。外部からSQL文を入力される「SQLインジェクション」と呼ぶ攻撃手法が使用されたとしている。

 流出したのは(1)カード名義人名、(2)カード番号、(3)カード有効期限、(4)セキュリティコード、(5)申込者住所。サーバーには最大14万6701件のクレジットカード情報が記録されていた。漏洩対象は2011年3月7日から2013年4月23日に申し込んだ顧客の情報という。

 エクスコムグローバルによれば4月23日17時頃、契約先である決済代行会社よりクレジットカード情報の流出懸念について連絡があり、同日、Webサイトでの申し込みの停止とデータベースサーバー内のクレジットカード情報を削除した。またオンラインでのクレジットカード決済を停止した。

 4月24日にクレジットカード会社認定の第三者機関である専門調査会社Payment Card Forensics(PCF)に調査を依頼。PCFは5月21日、SQLインジェクションによる攻撃と情報の流出の証跡が発見されたとの調査最終報告書を提出したという。

 エクスコムグローバルでは情報流出の可能性がある顧客に通知。不正アクセスされたデータベースサーバーのクレジットカード情報をすべて削除するなどの措置をとっている。

 また4月23日23時よりクレジットカード情報を取得しない運用に切り替え、空港カウンターでの対面決済のみでカード情報を取り扱うように変更した。ファイアウオールに加え侵入防御と検知を行う装置を導入し、データベースサーバーに接続するための全てのIDおよびパスワードを変更。第三者機関による脆弱性調査と改修も実施したという。

 今後はオンライン決済の際にクレジットカード情報を保持しない方式への切り替えなどを行うとしている。

[発表資料へ]