エクスコムグローバルは5月27日、同社が運営する「GLOBAL DATA」「Global Cellular」のサーバーに不正アクセスがあり、顧客情報の流出があったと発表した。流出件数は10万9112件。
流出が判明した経緯について同社は、4月23日17時頃、決済代行会社からクレジットカード情報が流出している懸念があるとの連絡を受けたとしている。同日、エクスコムグローバルは運営サイトからの申し込み機能を直ちに停止し、22時頃にはデータベースサーバー内のクレジットカード情報を削除した。また、オンラインでのクレジットカード決済も停止したという。
翌4月24日、クレジットカード会社認定の第三者調査機関である「Payment Card Forensics」(以下PCF)に調査の依頼を連絡、26日に委託を行った。PCFがログ解析を行い、5月21日付けで最終報告書が同社に提出された。
最終報告書によると、SQLインジェクションによって攻撃が行われ、不正取得によって顧客情報の流出証跡が発見されたという。顧客情報を保持していたサーバーには、最大14万6701件の顧客情報が保存されており、そのうち流出の確認が取れた件数は10万9112件となる。顧客情報は「カード名義人名」「カード番号」「カード有効期限」「セキュリティコード」「申し込み住所」の5点。
流出に対する対応策は既に実施しており、4月26日に不正アクセスされた顧客情報を保持するデータベースを既存サーバーとはローカル接続されていない新しいサーバーに構築した。また、顧客に金銭的被害が生じないよう、4月27日には流出した可能性があるクレジットカード番号を決済代行会社に提供し、モニタリングを依頼したという。また、4月23日23時より、クレジットカード情報のWeb申し込み時に入力しない運用に切り替えた。
今後行う対応策としては、オンライン決済を行う際に、クレジットカード業界におけるグローバルセキュリティ基準であるPCI DSSを取得している決済代行会社が情報を保持する「リンクタイプ決済」へのシステムへ切り替える予定だとしている。
なお、エクスコムグローバルでは顧客情報流出による処分として、代表取締役社長 西村 誠司氏の月額報酬30%を3ヶ月減額すると発表している。