ぴあ社がプラットフォームを提供するチケットサイトにて情報漏洩

ぴあ株式会社にて運営を受託している、B.LEAGUE(公益社団法人ジャパン・プロフェッシ ョナル・バスケットボールリーグ)の、B.LEAGUE チケットサイト、及びファンクラブ受付サイトのサーバー環境において、何者かのサイバー攻撃による不正アクセスが確認され、ユーザーの個人情報が流出した可能性のあるこ とが判明いたしましたとのことです。

【漏洩した可能性のある情報】

(1) 2016 年 5 月 16 日~2017 年 3 月 15 日の期間中に、B.LEAGUE 会員に登録されたお客様の 個人情報 ⇒住所・氏名・電話番号・生年月日・ログイン ID・パスワード・メールアドレスの登録情報 合計 154,599 件(複数クラブへの重複登録を除いた件数 合計 147,093 件)

(2) 上記(1)のうち、ファンクラブ会費のお支払いに、クレジットカード決済をご利用になられた方の 決済情報 ⇒カード会員名・カード会員番号・有効期限・セキュリティコード 合計 13,696 件

(3) 上記(1)のうち、2017 年 1 月 7 日~2017 年 3 月 13 日の期間中に、B.LEAGUE チケットサイトにて、 クレジットカード決済にてチケットを購入された方の決済情報 ⇒カード会員名・カード会員番号・有効期限・セキュリティコード 合計 23,025 件 (上記(2)と(3)とで、重複を除いた件数 合計 32,187 件)

(4) 当該クレジットカード番号による、不正使用の件数と金額(4 月 21 日現在の集計値) ⇒197 件/6,300 千円 (これまでに判明しているもので、すべてのカード会社の集計値ではありません。不正使用分 3 の補償は、クレジットカード各社を通じてその全額を同社が負担)

【原因】

3 月 10 日、独立行政法人情報処理推進機構(IPA)の発表された、アプリケーションフレームワークである 「Apache Struts2」に脆弱性

経緯としては同社は上記の脆弱性情報は認識していたものの、 web サーバー上にクレジットカード情報は保存されていない認識でしたが実は保存されており、それが漏洩してしまったことが主原因です。ぴあはさらに外部の発注先である、株式会社ききょう屋ソフト(本社:大阪 /代表取締役:酒井洋)に委託していたため、認識のずれが生じていたものと思われます。

これは先のGMO-PGと似た構造といえます。GMOの場合は自社でチェックしすぐに気が付きましたが今回の委託先企業はチェックしていなかったことが落ち度になります。このようなインシデントに枚挙にいとまはありませんが、サービス提供者、委託された業者、ともに責任感を持ち、脆弱性情報には敏感に対処いただきたいところです。

詳細;ぴあ株式会社

<