パスワードを忘れた? アカウント作成
9015580 story
ビジネス

「イモトのWiFi」のXCom Globalからクレジットカード情報など約11万件が流出 34

ストーリー by hylom
最近不正アクセス案件が多い 部門より
あるAnonymous Coward 曰く、

イモトのWiFi」など海外渡航者向け通信機器レンタルサービスを提供するXCom Globalは27日、不正アクセスにより同社のサーバーからクレジットカード情報を含むユーザーの個人情報約11万件が流出したことを明らかにした(プレスリリースITmediaの記事ケータイWatchの記事@ITの記事)。 流出した情報にはセキュリティコードが含まれるという。

発表によると、対象ユーザーは2011年3月7日~2013年4月23日に申し込んだユーザーで、全14万6701件のうち10万9112件の情報が流出したとのこと。流出した情報は「カード名義人名、カード番号、カード有効期限、セキュリティコード、申込者住所」となっており、店舗側で保存してはいけないセキュリティコードまでDBに保存されていた上に、暗号化もされていなかったという。攻撃にはSQLインジェクションが用いられたとのこと。

不正アクセスの報せを受けたのが4月23日で、同日には申し込みを停止してクレジットカード決済を停止するなどしていたにも関わらず発表が1か月以上遅れたことについては、「26日の調査開始から正確な被害状況の確認までに、お時間を要してしまいましたことを重ねてお詫びを申し上げます」としている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 追加 (スコア:5, 参考になる)

    by Oh-MissSpell (37716) on 2013年05月28日 11時49分 (#2389332) 日記

    携帯レンタル会社、約11万件のカード情報流出 [www.mbs.jp]
    >少なくとも172件の不正利用が確認

    これ、発表が1ヶ月以上遅れていなければ防げていた被害があったのでは?

    • by Anonymous Coward on 2013年05月28日 12時19分 (#2389353)

      ケータイWatchの記事にもありますけど、

      4月後半からは5月前半は海外渡航客の多い大型連休があり、エクスコムグローバルとしてもかき入れ時だ。同社は顧客情報の漏洩を明らかにすることなく、クレジットカード決済を停止し、銀行振り込みと空港窓口での対面決済で対応したことになる。

      どうみてもGWの大型連休シーズンが終わるのを待ってから発表したようにしか見えない件について。

      その結果、不正利用まで発生しているのなら、カード会社から損害賠償とか請求されても当然のレベルだろこれ。

      親コメント
    • by Anonymous Coward on 2013年05月28日 14時07分 (#2389482)

      被害者だけど、少なくとも172件の不正利用が確認されていることは、
      プレスリリースにもお詫びのメールにも記されていないんだよね。
      このコメントで初めて知った。
      この期に及んでまだ、都合の悪いことは隠蔽したいのかね。クソ企業過ぎる。

      お詫びのメールにゃこんなことが書かれているんだが、

      最後にお客様からの信頼を回復すべく、役員および社員一同全力でサービスおよ
      びセキュリティ体制の強化向上に取り組んでまいります。

      その隠蔽体質が直らん限り信頼の回復は見込めんよ。

      親コメント
    • by Anonymous Coward

      カード会社が黙認してるなら……と思ったけど、被害はお店側がかぶるんだっけ?
      カード会社的にも、こういうのは何かしらの制裁をしなくてよいのかね。

    • by Anonymous Coward

      変にゴールデンウィークに欲張らず早めに火消をしておけばよかったものを、
      欲張ったものだからもはや会社をたたんで夜逃げしないといけないレベルになりましたね

  • by Anonymous Coward on 2013年05月28日 12時27分 (#2389361)

    空港にカウンターがあるので海外へスマホ持って行く人なら結構やられた人多いんじゃないかな
    かくいう私もANAカードでHITしたので、カード番号だけじゃなくANAのマイレージ番号まで変更する羽目になりました

    新番号で再発行は無料ですむけど、マイレージ番号登録し直しやら
    次の予約入れてるユナイテッドへもマイレージ番号変更通知しないといけないなどかなりめんどくさい
    社長だけ30%減棒3ヶ月とか 次回3000円割り引きますとか、もう利用しないって

    • 以前ANAカード (三井住友) で不正利用があったときの再発行はカード番号のみ変更されたけど、カード会社によるのかもしれない。 あと、複数マイレージ番号がある場合は紐付けさえすれば旧番号でも新番号でも同様に使えるけど、今回は古い番号を無効にしているのかなあ。

      --
      HIRATA Yasuyuki
      親コメント
    • by Anonymous Coward

      JALはマイレージ番号の変更は無かったです。

  • by Anonymous Coward on 2013年05月28日 12時50分 (#2389390)

    メール来てないけれど、問い合わせたら漏洩してました。
    なんだか事態を矮小化してるように感じました。

    メールがこなくても安心はNGですよ。

    私は結局、カードの再発行が決定し、
    無駄な時間を奪われました。

  • 2013/5/7 「海外フリーWi-Fiスポットの危険」という記事がYahoo!ニュースにて紹介されています。

    だって。

    その記事というのが
    http://zasshi.news.yahoo.co.jp/article?a=20130502-00000011-rnijugo-sci [yahoo.co.jp]

    内容は、不用意にフリーwi-fiスポットにつなぐと個人情報の漏洩の危険がありますよ。と。

    自分とこが個人情報漏らしたの分かってて隠してる状態でこの記事を紹介して、

    「是非、弊社サービスをご検討頂く際にご参照頂ければ幸いです。 」

    って言える図太さはすごすぎる。

    • えーとたぶん
      『このように個人情報の漏洩は至る所で起きており、
      それは弊社も例外ではありえません。
      て言うか大声で言えませんが本当は今ヤバイんです。
      ぜひこの記事を参考にし、弊社サービスを本当に利用するのか、リスクを検討してください。』
      って言うことを、極めて遠回しに伝えようとしたんだよ!

      # 無い無い

      親コメント
  • by Anonymous Coward on 2013年05月28日 15時07分 (#2389545)

    > この度の件に関し、お客様をはじめ、関係各位の皆様に多大なご心配とご迷惑をおかけしましたことを踏まえ、
    > 代表取締役社長 西村 誠司の月額報酬30%を3ヶ月減額いたします。
    1995年に社長自ら作った会社なんだから今でも株式100%持ってるだろ。
    そんな会社からの役員報酬を減額しても、減額した金は会社に残ってるから罰にならんぞ。

  • by iwakuralain (33086) on 2013年05月28日 11時30分 (#2389313)

    これDB上に持ってないといかんのか?

    これ系のいくつか作ったことあるが別になくても処理的に困ることはなかったんだけど・・・

    • by 127.0.0.1 (33105) on 2013年05月28日 11時40分 (#2389324) 日記

      逆に、持ってたら今回のようなことになるので、持ってたらいかんのですよ。

      親コメント
      • by Anonymous Coward

        セキュリティコードは店舗側で情報保持すべきではないものだけど、
        こういったものを店舗側で不要に保持して流出させてしまったことに対して何か罰則はないのかね。

        • by nim (10479) on 2013年05月28日 13時21分 (#2389433)

          当然、アクワイアラからは何らかのペナルティがあるでしょう。
          ひょっとしたら、加盟店契約に損賠条項があるかもしれませんし、
          そうでなくても、契約更新には響くと思いますよ。

          親コメント
          • Re:セキュリティコード (スコア:2, すばらしい洞察)

            by Anonymous Coward on 2013年05月28日 14時23分 (#2389506)

            例え加盟店契約による損賠や契約更新に響いたとしても実被害を受けたユーザーには何の慰めにもなりませんね

            親コメント
            • by Anonymous Coward

              カード不正利用による被害は、一次的にはカード会社が持つはずだよ。
              (最終的に保険で埋めるのか、漏らした人に穴埋めを求めるのかは兎も角として)

              補償されない「ユーザの不利益」は、
              カード再発行に伴って発生する諸々の手続きだろうな。

    • by Anonymous Coward on 2013年05月29日 4時00分 (#2389969)

      セキュリティーコードはカード会社との契約で保存してはいけないことになってるはず

      親コメント
    • by Anonymous Coward

      何となく、ORマッパーなミドルウェア使ってて、DBに入ってることをあまり意識せずに作ってしまったんじゃ無いかなと思った。
      djangoかRoRかBeansか知らんけど。セッションにデータぶち込んで消し忘れとか。

      # もちろんそれじゃあかんけど。

      • by Anonymous Coward
        ORマッパちゃんと使っていたら、SQL injectなんて残らないと思います。
    • by Anonymous Coward

      なんで、このセキュリティコードを
      保存していた点について説明しないんでしょうね?
      お粗末な理由にせよなんにせよ、
      なぜなぜ分析を要求したいですね。

      今、そして今後、こちらのサービスを
      利用している、利用予定である方はいますでしょうか?

  • by Anonymous Coward on 2013年05月28日 19時07分 (#2389710)

    営業窓口はAM10時からPM8時までやってるのに
    今回の件の問い合わせ窓口は7時まで。
    問い合わせ電話も全然つながらないし、
    会社の姿勢として察してしかるべしって感じ。

  • by Anonymous Coward on 2013年05月28日 21時42分 (#2389833)

    速報もなしに正確な情報を1ヶ月もかけて調査して頂いたことで、
    本日カード会社に確認したところ身に覚えのないカードの動きの痕跡が
    ありました。(数日前)
    明日詳細を確認します。

    問題発覚してすぐに速報は欲しかったですね。
    上記にあるように情報の漏洩の可能性がある顧客がいないがら
    それよりも利益を優先したんでしょうか…。

    クーポン…今回カード引き落としをしている関係各所への
    支払い方法の確認などに使った電話代にあてられないのでしょうか?

  • by Anonymous Coward on 2013年05月28日 11時37分 (#2389317)

    珍獣ハンターとは関係がないんだな

    • by Anonymous Coward

      そいつが宣伝しまくってる

      • by Anonymous Coward

        タレント本人が直接やらかしたわけじゃないが、名前を冠して展開してたわけだから今後のタレント活動に影響がありそうだな。
        所属事務所が頑張って火消しするのかな。

        • by Anonymous Coward

          「直接やらかしたわけじゃない」ってむしろイモト本人はこの件でいえば、どちらかといえば被害者だろ。
          CMを受けるとき、あからさまに怪しい会社とかなら避けられるけど、こんなの避けようがない。

          • by Anonymous Coward

            だいたい避けようがないということでいいですね?
            他の芸能人の場合も

            • by Anonymous Coward

              もしそれがペニオクのことを言ってるのであれば
              宣伝している方向性の違いを見直した方が良い

              イメージキャラクターとサクラは違う

  • by Anonymous Coward on 2013年05月28日 23時24分 (#2389901)

    http://www.sv15.com/diary/imoto_wifi.htm [sv15.com]
    記者が問い合わせた内容が出てるけど何か危機感足りない感じですね

    >申し込み時には決済できないので、クレジットカード番号を自社サーバーに保存していた。

    数年前に決済が終わったセキュリティコードまで保存していた説明になっていない。
    削除する規則を守るつもりなどハナから無くサボっていただけでは?

    >Q:一次報告書で発表しなかったのはなぜか?
    >A:~他社さんでの流出事例でも、最終的な流出情報がわかってから発表した事例があるので、それがいいと判断している。~

    >Q:不正利用の件数は?
    >把握しているのは172件。ただしこれは4月26日時点の数字である。被害額は、現在のところつかんでいない

    他社は実際の被害が把握されてないから調査を優先したんだと思いますが…
    4/26の時点で被害が出ているのを把握していながら、公表を控えるほうがいいと判断した?
    理解不能です。

    >Q:不正利用の件数、被害額が1か月後の今も把握できないのはなぜか?
    >A:決済代行会社からの情報と、クレジットカード会社からの情報が、遅れている。

    それ以外の情報源から不正利用の報告を1件も発見できなかったとは思えない。
    まともに対応を進めているように見えない。

  • 夜逃げされちゃう小さい企業のサイトで
    自己防衛するしかないでしょうね。
    今度進出したSquareを使うのもいいんじゃないでしょうか。

    余談ですが、私は中国の銀行が中国で発行したクレカも持ってますが、
    何せ詐欺王国なのでネットのカード払いは必ず銀行が設置してる決済サーバに飛ばされ、
    海外利用は同決済サイトの英語版かVISA認証のサイトに飛ばされます。

    店ではパスワードとサインによる認証ですが、空港、駅から街角までこれだけ詐欺が溢れてる中国で
    何気に毎日のように銀聯使ってて10年で一度も不正利用が無いのは凄いと思う。
    偶然なのかと思いきや、周りの中国人も当然使いまくりなわけでして、
    不正利用されたニュースはたまにあるんですが、周りに被害者がいない。

    #あれば必ず話題になるから。盗難とか詐欺とか車上荒らしとか・・。

    不味い部分も何かと多い中国だけど、中国の銀行の方が詐欺や犯罪対策は進んでるから、
    どういう仕組みで防いでるのか(それともただ隠蔽してるのか?・・・銀聯クレカ使うとSMS届くからわかるけど)、
    日本も参考にしたらいいんじゃないかな。

    • by Anonymous Coward

      夜逃げされちゃう小さい企業のサイトで→夜逃げされちゃう小さい企業のサイトで使わないなど
      タイポです。

    • by Anonymous Coward

      そもそも銀聯ってデビットカードの一種なので、残高がないと決済できない。

typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...