B.LEAGUEチケットサイトなどから個人情報のべ15万件超が流出の恐れ Apache Struts2の脆弱性が原因

ぴあが運営を受託していたプロバスケットボールリーグ「B.LEAGUE」のチケットサイトとファンクラブ受付サイトに不正アクセスがあった。個人情報のべ15万件超が流出した可能性があり、クレジットカード番号とセキュリティコードも3万2000件あまりが盗まれた可能性がある。

» 2017年04月25日 15時32分 公開
[園部修ITmedia]

 ぴあが4月25日、運営を受託しているB.LEAGUEチケットサイトおよびファンクラブ受付サイトに不正アクセスがあり、個人情報のべ15万4599件、とクレジットカード情報が流出した可能性があることを明らかにした。3月10日に情報処理推進機構(IPA)が警告を出していた「Apache Struts2」の脆弱(ぜいじゃく)性を突いた攻撃が原因だという。

ぴあから個人情報流出

 流出した可能性がある情報と被害件数、被害額は以下の通り。

(1)2016年5月16日〜2017年3月15日の期間中に、B.LEAGUE会員に登録した人の個人情報

 →住所・氏名・電話番号・生年月日・ログイン ID・パスワード・メールアドレスの登録情報:合計15万4599件(複数クラブへの重複登録を除いた件数:合計14万7093件)

(2)上記(1)のうち、ファンクラブ会費の支払いに、クレジットカード決済を利用した人の決済情報

 →カード会員名・カード会員番号・有効期限・セキュリティコード:合計1万3696件

(3)上記(1)のうち、2017年1月7日〜2017年3月13日の期間中に、B.LEAGUEチケットサイトにて、クレジットカード決済でチケットを購入した人の決済情報

 →カード会員名・カード会員番号・有効期限・セキュリティコード:合計2万3025件(上記「2」と「3」とで、重複を除いた件数:合計3万2187件)

 当該クレジットカード番号による、不正使用の件数は197件、被害金額は約630万円(4月21日現在の集計値)。なお、この金額はこれまでに判明しているもので、すべてのカード会社の集計値ではない。不正使用分の補償は、クレジットカード各社を通じて全額をぴあが負担する。

 ぴあの説明によると、当初、B.LEAGUEチケットサイトとファンクラブ受付サイトに関連するWebサーバ上に、クレジットカード情報は保存されていない認識でいたが、3月17日頃から、会員がTwitter上で、クレジットカードの不正使用に関する複数の書き込みをしていることを確認し、事実関係の確認を開始。その後、クレジットカード会社からの報告で、B.LEAGUEチケットサイトとファンクラブ受付サイトを利用した顧客のクレジットカード番号で、十数件の不正使用があった疑いが判明したという。3月25日には、同サイトのすべてのクレジットカード決済機能を停止し、さらに詳細な調査をPCFに依頼した。

 その結果、ぴあからサイトの開設と運用を受託した、ききょう屋ソフトが構築したファンクラブ受付サイト、ならびにホットファクトリーが構築した B.LEAGUEチケットサイトの両方で、3月7日〜15日の間、Apache Struts2の脆弱性を突いて、Webサーバ及びデータベースサーバに不正アクセスが行われた痕跡を確認した。

 なおこれらの情報は、ぴあからの発注仕様、運用ガイドラインとは異なり、委託先のデータベース上(ファンクラブサイト)と通信ログ上(チケットサイト)に、不適切に保持されていたという。

ぴあが公開した報告書 ぴあが公開した報告書
B.LEAGUEの報告書 B.LEAGUEの報告書

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ