テレコムスクエア:不正アクセスによりカード番号などを含む個人情報が流出/被害は最大で約100,000件か

スポンサーリンク

モバイルWi-Fiルータなどのレンタル事業を行う『テレコムスクエア』は、不正アクセスによってサービス利用者のカード番号を含む個人情報が流出したことを発表している。

テレコムスクエアのお知らせは以下より。
不正アクセスによるお客様情報流出のお知らせとお詫び – 株式会社テレコムスクエア

情報流出の対象となるのは以下パターン。

●流出対象のお客様
サーバ(AP-A):平成20年7月1日~平成25年4月30日の間で、各法人様の専用ウェブサイトをご利用されたお客様

サーバ(Web-B):下記の①または②に該当する方
①平成24年6月1日~10月14日の間で、下記ウェブサイトから申し込まれた方

www.telecomsquare.co.jp
②平成24年10月15日~平成25年2月5日に、宅配便または空港の返却BOXにて返却をされた方

流出のパターンが複数あって少々複雑だけれど、個人の場合は、『サーバ(Web-B):下記の①または②に該当する方』に該当するユーザが多いのではと思う。
※恐らく自分もこのパターンに相当すると思われる…。

流出した情報は、法人顧客(サーバAP-A)は社名・部署・住所など個人情報と、クレジットカード番号&有効期限、個人(サーバWeb-B)の場合はカード番号と有効期限。とされおり、個人ユーザの場合もカード番号&有効期限が流出している。

●流出した可能性のある情報
サーバ(AP-A):法人様専用サイト利用者の、「社名・部署、氏名、住所、メールアドレス、電話番号、カード名義人、カード番号、有効期限」

サーバ(Web-B):「カード番号、有効期限」のみです。
※カード裏面のセキュリティコードは当社では保持しておりません。

テレコムスクエアでは、先に情報流出していることがわかった法人宛には順次報告を開始しており、その後情報流出している可能性が高いことが判明した個人ユーザに対しては、本日(9月20日)より、メールにて個別の通知を行っているとのことで、対象となるユーザ宛には個別にお知らせがある模様。
※9月20日(金) 11:40時点で自分宛にはメールは届いていなかった。

●弊社からお客様へのご連絡

今回の流出対象のお客様は、弊社から個別のメールにてお知らせを開始しております。
弊社からの、お知らせのメールをご確認ください。
サーバ(AP-A):該当する法人様には個別にご報告を行い、法人様単位で、順次ご利用者にお知らせのメールを送信しております。法人様により送信日が異なります。
サーバ(Web-B):本日、個別にお知らせのメールの送信を開始いたしました。

テレコムスクエアの情報流出では、クレジットカード再発行に係る費用について、利用者の負担が発生しないようにクレジットカード会社側と調整済みとのことで、カードの再発行を行う場合でも、ユーザ側に金銭的な負担は発生しない。

●カード再発行の手数料など

今回の件でカード再発行にかかる手数料は弊社が負担いたします。 また、その意思があることをカード会社に通知しております。

なお、一連の情報流出について、空港カウンターで直接申込し、テレコムスクエアの空港カウンターで精算を行っている場合は、今回の情報流出の対象外となっているとのこと。

弊社の空港カウンターで直接申し込まれて、かつ弊社の空港カウンターで精算された方は、ご利用の時期にかかわらず全て対象外です。

モバイルWi-Fiルータのレンタルを行う事業者の情報流出は、2013年5月末に『エクスコムグローバル』にてカード番号、セキュリティコードを含む個人情報の流出があり、同業種での個人情報流出が連続して発生している。

エクスコムグローバルのカード番号流出については以下より。
『イモトのWiFi』のエクスコムグローバルでカード番号などが約11万件流出/被害対象だったのでカードを停止手続 | shimajiro@mobiler

エクスコムグローバルでの情報流出は、4月23日の17時にクレジットカード情報の流出の懸念があると外部より連絡があったことがきっかけで調査が開始された。とされており、テレコムスクエアの法人用のサーバ(AP-A)の情報流出(4月24日 〜 30日)は、エクスコムグローバルの情報流出の直後に発生していたことがわかる。

また、個人向けのWebサーバ(Web-B)では2月5日時点で情報流出が発生しているため、被害の発表はエクスコムグローバルが先になっているものの、実際にはエクスコムグローバルよりも前に、テレコムスクエアでは不正アクセスによる情報流出が発生していたことになる。

テレコムスクエアで情報流出が発生したタイミングは以下。

●流出した時期
サーバ(AP-A):平成25年4月24日~30日
サーバ(Web-B):平成25年2月5日

テレコムスクエアでは、エクスコムグローバルの情報流出の発表のあと、自社のセキュリティ体制に関する告知を行うなど、セキュリティ対策をアピールしていた(該当のページは現在確認できない)だけに、エクスコムグローバルよりも前に情報流出が発生しており、なおかつエクスコムグローバルの被害発表の後にも被害を検出することができていなかったのは残念なところ。