Acer、カード番号の流出問題で罰金約1,300万円の支払いに合意

　ニューヨーク州検事総長Eric T. Schneiderman氏の26日(米国時間)付けの発表によると、台湾のコンピュータメーカーAcerの子会社である、Acer Service Corporationによる35,000件を超える顧客クレジットカード番号の流出について、Acer側と州検事局は罰金およそ1,300万円の支払いとセキュリティの強化で和解した。

　今回のカード番号流出問題は、Acerの米国オンラインストアで最後に使用されたカードが立て続けに悪用されたことで発覚したものだ。さらに、捜査によってAcerのWebサイトに複数の脆弱性があり、2015年11月11日から2016年4月28日までに数百回も渡って顧客情報が抜き取られていたことが判明した。盗まれたデータは実に35,071人分にものぼった。

　また、この脆弱性はWebサイトのずさんな運営によるものであることも明らかになっている。例えば2015年7月4日から2016年4月28日までの間AcerのECプラットフォームはデバッグモードのまま運用されていた。このデバッグモードは、データのやりとりを平文でログファイルに出力してしまうために、本来はオフラインで検証用に用いられるものだった。このログファイルに顧客の名前、カード番号、有効期限、セキュリティ番号から住所までが含まれており、さらに、パーミッションも適切に設定されていなかったため、外部から特別な手法を用いずとも、通常のブラウザで本来見れないはずのサブディレクトリが表示できてしまう状態にあった。

　これらの調査などにより、検事局はAcerが丸1年近くも顧客の個人情報を適切に保護してこなかったと結論付けた。Schneiderman検事総長は、「企業には顧客の個人情報を可能な限り安全に保管する義務があり、顧客のカード情報を含む個人情報を危険に晒したことは今後とも容認できない」とし、今回の罰金と今後のセキュリティの強化という和解案に至った。