エクスコムグローバル、SQLインジェクションで約11万件のクレカ情報流出：サーバに保持のセキュリティコードなども流出

[高橋睦美，＠IT]

　海外旅行者向けのモバイルルータレンタルサービスを提供しているエクスコムグローバルは5月27日、同社WebサイトがSQLインジェクション攻撃を受け、最大10万9112件のクレジットカード情報やセキュリティコードが流出したことを明らかにした。

　情報流出が明らかになったのは4月23日17時ごろ。決済代行会社からクレジットカード情報が流出している可能性があると連絡が入ったことを受け、調査を進めてきたという。

　ログ調査の結果、同社が運営する「GLOBALDATA」と「Global Cellular」のWebサーバに対して外部からSQLインジェクション攻撃があり、サーバに保存されていた顧客情報が流出した証跡が発見された。流出した可能性があるのは、2011年3月7日から2013年4月23日までに申し込みを行った顧客の、10万9112件分のクレジットカード情報だ。これら情報には、カード名義人名、カード番号、有効期限のほか、セキュリティコードや申込者の住所が含まれている。

　エクスコムグローバルでは一連の事態を受け、ファイアウォール並びに不正侵入防御／検知機能を提供するセキュリティ製品を導入するとともに、データベースサーバに接続するためのID／パスワード変更を行った。また今後、クレジットカード情報を自社で保持せず、PCI DSSを取得している決済代行会社が保持する「リンクタイプ決済」への切り替えに向け、システム開発を進めるという。

　なお同社は、不正アクセスの可能性が指摘された4月23日に事故対策委員会を設置し、調査を開始していた。サイトでの申し込み停止やデータベースサーバ内のクレジットカード情報の削除、オンラインでのクレジットカード決済停止といった措置を取るとともに、4月26日には専門調査会社のPayment Card Forensics（PCF）に調査を依頼。最終調査報告書がまとまったのは5月21日のことだったという。同社は、調査開始から正確な被害状況の確認まで、1カ月弱の時間を要したことを「重ねてお詫びする」としている。

　クレジットカード情報が流出した可能性のあるユーザーには、5月27日付で、サービス申し込み時に登録したメールアドレス宛てにメールで案内を行ったほか、専用問い合わせ窓口（0120-112-107）を設けて対応する。