XCom Global、10万件超のクレジット情報流出

　「イモトのWiFi」で知られるエクスコムグローバル（XCom Global、旧インターコミュニケーションズ）は、不正アクセスによってクレジットカード情報を含むユーザーの個人情報が流出したことを明らかにした。

クレジットカード情報流出、暗号化なし

　エクスコムグローバルでは、「イモトのWiFi」のキャッチコピーで、海外旅行者や出張者向けにモバイルWi-Fiルーターなどのレンタルサービスを提供している。同社の発表によると、4月23日、顧客情報が保存されたサーバーへの不正アクセス（SQLインジェクション攻撃）によって、14万6701件のクレジットカード情報のうち、10万9112件の情報が流出したという。事態は渋谷警察署に報告済み。

　流出した情報は、カード名義人名前、カード番号、カード有効期限、セキュリティコード、申込者住所となる。2011年3月7日～2013年4月23日に申し込まれた分が対象となる。

　エクスコムグローバルでは、流出した個人情報を悪用した被害について、現時点で把握していないとしている。現在、クレジット会社と情報を共有しながら事態に対応しており、4月27日より決済代行会社にモニタリングを依頼しているとのこと。

　なお、SQLインジェクションとは、セキュリティ上の不備を利用してデータベースを不正操作する手法。データベースの情報は暗号化処理がなされておらず、クレジットカード情報がそのまま流出してしまった可能性が高いという。

ユーザー対応、クレジット情報非保持へ

　情報が流出したユーザーに対しては、5月27日にメールで通知し、メールが届かないユーザーには郵送で通知される。あわせて、流出したユーザーには、次回利用できる3000円分の割引券を配布しているという。

　クレジットカード情報の流出を受け、エクスコムグローバルでは、4月23日23時よりクレジットカード情報をサーバーに保存しない運用に切り替えた。決済は空港カウンターでの対面決済のみとしている。対面決済では、現金払いのほかクレジットカード払いが選べるが、エクスコムグローバル側のサーバーに情報は保持されず直接カード会社との決済になるという。

　同社は今後、オンライン決済時にクレジットカード情報を持たない方針。セキュリティ基準「PCI DSS（Payment Card Industry Data Security Standard）」を取得している決済代行会社と提携し、代行会社のリンク型決済システムを導入する。自社サーバーには、郵送時に必要となる氏名や住所、電話番号などを保持する方針。

　なお、不正アクセスを受けたサーバーに保存されていたクレジットカード情報は全て削除しているという。5月2日には、不正アクセス防止のために、新サーバーと既存サーバーに侵入防御システムと、侵入を検知するハードウェアを導入。データベースサーバーへ接続するためのIDとパスワードも変更したとしている。

　また、エクスコムグローバルの代表取締役社長の西村誠司氏は、月額報酬の30％を3カ月間減額する方針。

経緯

　エクスコムグローバルによれば、不正アクセスの報せを受けたのは4月23日17時。契約先の決済代行会社から、クレジットカード情報の流出懸念について連絡があった。

　同日、Webサイトの申し込みを停止し、データベース内のクレジットカード情報を削除、その後、クレジットカード決済を停止した。翌24日には、専門調査会社であるPayment Card Forensicsに調査を依頼し、26日から調査が開始された。

　4月27日には、決済代行会社にモニタリングを依頼し、30日からモニタリングが開始された。5月2日には不正アクセスのあったサーバーシステムも変更。5月21日に調査の最終報告書が提出され、5月27日の報道発表とともに、流出被害を受けたユーザーにも通知された。

　最初の流出懸念から実に1カ月以上、ユーザーへの周知がなされなかった。エクスコムグローバルでは、「26日の調査開始から正確な被害状況確認まで時間を要した」として謝罪している。

　ユーザー周知までに時間がかかった理由を「経営判断」とコメントしている。4月後半からは5月前半は海外渡航客の多い大型連休があり、エクスコムグローバルとしてもかき入れ時だ。同社は顧客情報の漏洩を明らかにすることなく、クレジットカード決済を停止し、銀行振り込みと空港窓口での対面決済で対応したことになる。同社では「どれほどの被害状況なのか、流出の範囲を特定するまでに時間がかかった」と話している。