クレカ情報約10万件が流出、270枚が不正利用被害 - テレコムスクエア
海外渡航者向けにWi-Fi機器や携帯電話をレンタルしているテレコムスクエアの複数サーバが、2013年の2月と4月の2回にわたり不正アクセスを受け、クレジットカード情報を含む顧客情報が流出していたことがわかった。
同社によれば、決済代行会社と通信するサーバや、特定の法人顧客向けに提供していたウェブサーバが不正アクセスを受けたもので、8月1日にカード会社からカードが不正利用された疑いがあるとの連絡が入り、問題が発覚した。最大9万7438件の情報が流出し、すでに270枚のクレジットカードが不正利用されたとの報告を受けているという。
決済代行会社との通信に用いていたサーバは、以前にクラウド上で運用していたもので、2月5日に不正アクセスが発生。2012年6月1日から10月15日にかけて同社ウェブサイトでサービスを申し込んだ顧客や、同年10月15日から2013年2月5日までに宅配便や空港の返却ボックスを利用した顧客のクレジットカード番号や有効期限が流出した。
一方法人顧客向けのサーバは、同社が社内で運用していたもので、2013年4月24日から30日にかけて攻撃を受けた。2008年7月から2013年4月までに同サーバを利用した法人顧客の企業名や部署、氏名、住所、メールアドレス、電話番号のほか、クレジットカードの名義、番号、有効期限が流出している。
同社では、カード会社から不正利用の報告を受けた翌日の8月2日にベライゾンジャパンへフォレンジック調査を依頼。8月29日の最終報告書第1版では、カード情報2773件の流出について指摘され、同社内部調査の結果とあわせ、6441件が流出対象であると判断、所轄官庁へ事態を報告した。
さらに9月12日にベライゾンより確定版にあたる最終報告書の第3版が提示され、ログの消失により流出データを特定できないとして、流出件数を9万7438件と確定した。
発表したタイミングについて同社は、当初の流出範囲が数社の法人に限定されており、法人専用サイトで告知を行ってきたと説明。決済代行会社との通信に利用していたサーバについては、クレジットカード番号が窃取された可能性が低いとされる調査結果が示されていたという。
しかし、9月12日にカード会社から不正利用に関して情報提供があり、被害が一般顧客に拡大したことから公表したもので、保全にあたっては関係者と緊密に連絡を取り、認識当初から進めてきたと釈明している。
同社では今回の問題を受け、クラウドサーバからデータセンターの自社サーバへ全面切り替えを実施。IPSやウェブアプリケーションファイアウォール(WAF)を導入した。今後は、PCI-DSS Ver2.0の取得を目指すとしている。
(Security NEXT - 2013/09/20 )
ツイート