モバイル通信機器レンタルサービスを提供するテレコムスクエアは2013年9月20日、同社サーバーへの不正アクセスにより、クレジットカード情報を含む個人情報が流出したと発表した。

 流出した可能性のある情報は、法人専用サイト利用者の「社名・部署」「氏名」「住所」「メールアドレス」「電話番号」「カード名義人」「カード番号」「有効期限」および、個人向けWebサイト利用者の「カード番号」「有効期限」。情報が流出した恐れのある最大件数は9万7438件で、現時点で不正利用があったと報告されたカード枚数は270枚に上るという。

 不正アクセスに遭ったサーバーは、特定の法人専用にWebサイトを提供していたサーバー(AP-A)と、クレジットカード決済代行会社と通信をするために用いていたサーバー(Web-B)の2種類。情報が流出した時期は、AP-Aが2013年4月24日~30日、Web-Bが2013年2月5日。

 情報が流出した可能性があるユーザーは、(1)2008年7月1日~2013年4月30日に、各法人専用Webサイトを利用した法人ユーザー、(2)2012年6月1日~10月14日に同社の個人向けWebサイトから申し込んだユーザー、(3)個人向けWebサイトで申し込み、2012年10月15日~2013年2月5日に宅配便または空港の返却BOXで返却したユーザー。対象ユーザーに対しては、同社から個別にメールによる通知を開始している。

 また、対象の全カードは、被害拡大防止のためにカード会社の監視体制下に置いたという。さらに、今回の情報流出によってカードを再発行した場合にかかった手数料は、テレコムスクエアが負担するとしている。

 テレコムスクエアによると、最初にクレジットカード会社からカード不正利用の疑いがあるとの連絡が入ったのは2013年8月1日だという。そこで同社は、8月2日に調査会社のベライゾンジャパンに調査を依頼。9月12日にベライゾンからの最終報告書を受け取るとともに、不正利用者の追加情報がカード会社から提供されたことによって、情報流出数9万7438件を確定した。

 なお現在は、サーバーをすべて自社運営に切り替えるとともに、IPS(Intrusion Prevention System)とWAF(Web Application Firewall)を導入し、セキュリティ対策を強化したとしている。

[発表資料へ]