2013-09-26_0953
(画面は同社Webサイトより)

海外用モバイルルーターや携帯電話のレンタルサービスを展開している株式会社テレコムスクエア(東京都千代田区)は、9月20日付で、同社のサーバーに不正アクセスが発生し、カード情報約10万件が流出したと発表しました。

今回流出した情報は、2つのパターンであり、

(1)特定の法人の利用者
・2008年7月1日〜2013年4月30日の間に、同社が特定の法人用に用意した専用ウェブサイトよりサービスの利用申込みをした人の
・「会社名」「部署」「氏名」「住所」「メールアドレス」「電話番号」「カード名義」「カード番号」「有効期限」

(2)個人の利用者
・2012年6月1日〜2013年2月5日の間に同社のWebサイト(www.telecomsquare.co.jp)よりサービスの利用申込みをした人
・または同期間に空港で直接返却する以外の方法で返却した人の
・「カード番号」「有効期限」

あわせて最大97,438件とのことです。

同社では、8月1日にカード会社から不正利用の疑いとの連絡を受け、その後セキュリティ専門会社による調査を受けたそうです。当初は、被害範囲を上記の(1)のみであると想定していたそうですが、その後の調査により(2)も含まれていることが分かり、体外的に公表したとのことです。

http://www.telecomsquare.co.jp
http://www.telecomsquare.co.jp/info/info20130920cs001.html
http://www.telecomsquare.co.jp/info/info20130920cs011.html

(私のコメント)
「イモトのWiFi(エスクコムグローバル社)」に続いて、同業でほぼ同規模の流出事件が発生しました。同社のリリースでは分かりにくいのですが、2種類のサーバーが攻撃されていることから考えても、単純なSQLインジェクション攻撃などではなく、焦点を絞った標的型攻撃の可能性もあると思われます。

今後の教訓としては、今回のような中規模のサービスにおいては
・カード決済は、決済代行会社を活用する
・自社のサーバー上ではカード情報は取り扱わない(もちろん保存もしない)
ということを原則にすべきかと思います。

(関連記事)
「イモトのWiFi」に不正アクセス。カード情報11万件が流出
http://www.pmarknews.info/archives/51897030.html
総務省、エクスコムグローバルに個人情報の取扱いに関する「指導」を実施
http://www.pmarknews.info/archives/51910480.html








●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)