« 学会資料配布方法inlawの場合 | トップページ | 大阪の母子餓死事件、これもDV被害の結果か »

2013/05/27

また情報流出、そしてクレジットの不正使用

カード情報11万件流出 エクスコムグローバル

モバイル通信サービス会社「エクスコムグローバル」は27日、顧客のクレジットカード情報約11万件が流出したと発表した。カードの不正利用が少なくとも172件確認されているという。15日、警視庁渋谷署に被害届を出した。

(中略)

サイトに登録されている約14万7千件の顧客情報のうち、2011年3月~13年4月に登録した10万9112件のカード番号や名義人、住所などが不正アクセスによって流出したと判明した。問い合わせは同社窓口(0120・112・107)へ。

エクスコムグローバルのサイトは繋がりにくい状態になっているが、「不正アクセスによるお客様情報流出に関するお知らせとお詫び」として、以下のページを見よとある。
そこはマジ繋がらない。

この会社、国際モバイルデータ通信サービス「グローバルデータ」を運営し、イモトのWiFiとかやっているところだ。海外旅行してモバイルWiFiのレンタルを行い、クレジット決済したことのある人は、被害者となっている可能性がある。上記期間も、まるまる2年間だ。結構大変な事態ではないか。

しかーも、セキュリティコードが、本来保持してはならないはずのセキュリティコードも、流出対象データにあるではないか!

以下、ようやくつながった上記ページのデータを、臨時にコピペしておく。

不正アクセスによるお客様情報流出に関するお知らせとお詫び

2013年5月27日
お客様および関係者様各位

エクスコムグローバル株式会社
代表取締役社長 西村誠司

この度、当社が運営する「GLOBALDATA(http://www.globaldata.jp/)及びGlobal Cellular(http://www.globalcellular.jp/)」(以下、「本サイト」といいます。)のウェブサーバーに対して、外部からの不正アクセスがあり、クレジットカード会社認定の第三者機関である専門調査会社「Payment Card Forensics株式会社」(以下、「PCF」といいます。)で調査を実施いたしました。
調査の結果、5月21日付調査最終報告書により、不正アクセスによるお客様情報の流出が判明いたしましたので、その概要と対応について、下記のとおりご報告いたしますとともに、お客様をはじめとする関係各位の皆様に対し、多大なるご迷惑およびご心配をお掛けする事態に至りましたこと、深くお詫び申し上げます。
また、平成25年4月26日の調査開始から正確な被害状況の確認までに、お時間を要してしまいましたことを重ねてお詫びを申し上げます。
なお、本件につきまして所轄警察署に被害状況ならびに今後の対応について相談するとともに、所轄官庁に被害状況の第一報を行っております。

1.調査開始の経緯
本年(以下いずれも本年)4月23日17時頃、当社の契約先である決済代行会社よりクレジットカード情報の流出懸念について連絡があり、同日直ちに、本サイトの申し込みの停止及びデータベースサーバー内のクレジットカード情報の削除を行い、その後はオンラインでのクレジットカード決済を停止いたしました。
また、4月24日に決済代行会社より情報をいただいたPCFに調査の依頼を連絡いたしました。

2.調査体制
当社は、不正アクセスの嫌疑の連絡を受け、4月23日直ちに社内において事故対策委員会を設置し、4月26日PCFに調査を委託いたしました。

3.調査の結果およびお客様への対応
(1)不正アクセスの概要
PCFがログ解析を行った結果、5月21日付調査最終報告書により、SQLインジェクションによる攻撃、および同攻撃(不正取得)によるお客様情報の流出の証跡が発見されました。
(2)流出したお客様情報
お客様情報を保持していたサーバーには、最大146,701件のクレジットカード情報があり、同件数のお客様情報(①カード名義人名、②カード番号、③カード有効期限、④セキュリティコード、⑤お申込者住所)がありました。不正取得により流出しました件数はうち109,112件になり当該情報は、平成23年3月7日~平成25年4月23日にお申し込み頂きました、お客様の情報が対象となります。
(3)お客様への対応
お客様情報流出の可能性があるお客様へは、本日、当社サービスのお申し込み時にいただいております、メールアドレス宛にメールを配信しご案内するとともに、お客様問い合わせ窓口(コールセンター)を設置しております。
なお、送信エラーにてご連絡出来なかったお客様につきましては、郵送等でご連絡をとらせていただきます。

4.実施済みの対応策
(1)侵入経路の遮断及びお客様情報の削除
不正アクセスされたお客様情報を保持するデータベースサーバーについては、4月26日、既存サーバー群とローカル接続されていない場所に新しくサーバーを構築しております。また4月23日22時に、不正アクセスされたお客様情報を保持するデータベースサーバーのクレジットカード情報はすべて削除しております。
(2)クレジットカードのモニタリング
お客様に金銭的被害が生じないよう4月27日、流出可能性があるクレジットカード番号を決済代行会社に提供しモニタリングを依頼しております。その後、決済代行会社経由でクレジットカード会社各社に連絡していただいており、4月30日からの当該クレジットカードによる取引のモニタリングを依頼し順次実施しております。
(3)クレジットカード情報の非保持
従来はクレジットカード情報をお申し込み時にいただいておりましたが、平成25年4月23日23時よりクレジットカード情報をお申し込み時にいただかない運用に切り替え、当社空港カウンターでの対面決済のみで取り扱いしております。
(4)当該サーバーのシステムの変更
5月2日、不正アクセス防止のため新サーバー及び既存サーバー群に、ファイアーウォールに加え侵入防御及び検知するハードウェアを導入するとともに、データベースサーバーに接続するためのID及びパスワードの全ての変更をしております。
(5)第三者機関による脆弱性調査
4月26日以降、PCFにおいて、複数台のサーバーの脆弱性調査等を実施しており、現在までに判明している脆弱性につきましては改修をしております。
(6)所轄警察署(渋谷警察署・警視庁)への報告および所轄官庁への第一報
本件につきましては、5月15日以降に複数回所轄警察署に相談するとともに、所轄官庁へ第一報を行っております。

5.今後計画している対応策
(1)オンライン決済におけるクレジットカード情報の非保持
クレジットカード情報・取引情報の安全を守るために、国際ペイメントブランド5社が共同で策定したクレジットカード業界におけるグローバルセキュリティ基準であるPCI DSSの取得に向けて取り組んでおりました。しかしオンライン決済の再開までには時間を要し、お客様にさらなるご迷惑およびご不便をお掛けすることが予測されるため、今後はクレジットカード情報を当社で保持せず、既にPCI DSSを取得している決済代行会社が保持する「リンクタイプ決済」への切り替えに向けたシステムの開発をしております。
(2)ネットワーク構成等の強化
ネットワーク構成およびアプリケーションのセキュリティ強化対策については、第三者機関によるセキュリティ調査のもと次のとおり取り組みます。
・SQLインジェクション対策などアプリケーションの脆弱性修正および強化
・不正侵入監視および不正侵入防御機器の設置
・ネットワーク構成の再設計
(3)所轄警察署および所轄官庁への継続報告等
引き続き、所轄警察署及び所轄官庁へ継続的に相談、報告するとともに、不正アクセスの主体、原因等の究明を行ってまいります。

6.処分
この度の件に関し、お客様をはじめ、関係各位の皆様に多大なご心配とご迷惑をおかけしましたことを踏まえ、代表取締役社長 西村 誠司の月額報酬30%を3ヶ月減額いたします。

お客様からのお問い合わせにつきましては、下記相談窓口にてご対応させていただきます。

本件に関するお客様問い合わせ窓口
■エクスコムグローバル お客様問い合わせ窓口
電話 : 0120-112-107
(お受付時間: 平日10:00~19:00 土日祝10:00~16:00)

|

« 学会資料配布方法inlawの場合 | トップページ | 大阪の母子餓死事件、これもDV被害の結果か »

パソコン・インターネット」カテゴリの記事

コメント

いつもブログでの有益な情報提供ありがとうございます。
私は今期の法情報学を受講している岡田康平と申します。

5月24日(金)の法情報学の課題を同日に提出したのですが、先生からの返信をいただけませんでした。
念のため、5月27日にも再度提出させていただきましたので、確認していただけると助かります。
よろしくお願いいたします。

投稿: 岡田康平 | 2013/05/27 23:59

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/31412/57471482

この記事へのトラックバック一覧です: また情報流出、そしてクレジットの不正使用:

« 学会資料配布方法inlawの場合 | トップページ | 大阪の母子餓死事件、これもDV被害の結果か »