　ぴあは4月25日、同社が運営するB.LEAGUE（ジャパン・プロフェッショナル・バスケットボールリーグ）公式チケットサイトとファンクラブサイトが、「Apache Struts 2」の脆弱性を悪用した不正アクセスを受け、最大15万4599件の個人情報が流出した恐れがあると発表した。クレジットカード情報も流出し、すでに197件の不正使用を確認しているという。

B.LEAGUEの公式チケットサイトより

　流出した可能性があるのは、個人情報（住所、氏名、電話番号、生年月日、ログインID、パスワード、メールアドレス）15万4599件（複数クラブへの重複登録を除くと14万7093件）。

　このうち、B.LEAGUEチケットをクレジットカード決済で購入した2万3025人、ファンクラブ会費をカード払いした1万3696人、重複を除くと計3万2187件の決済情報（カード会員名、会員番号、カード有効期限、セキュリティコード）も流出した恐れがある。流出したクレジットカード情報のうち、197件、約630万円の不正使用を確認しているという（4月21日時点）。

　被害を受けたサイトは、同社が外部委託したききょう屋ソフト、ホットファクトリーのサーバに構築されたもの。外部委託先のデータベースでは、個人情報を保持しないように運用ガイドラインを定めていたが、実際には不適切に保持されていたといい、流出の原因になったという。同社は「確認の徹底が不十分だった」と謝罪し、現行システムとガイドラインの見直しなどを進めているという。

　「チケットぴあ」など同社が運営する他サービスは、被害を受けたサイトとは完全に切り離されており、不正アクセスは確認していないという。

　同社は3月17日ごろ、会員がTwitter上でクレジットカードの不正使用に関する書き込みがあることを確認し、事実関係を調査。クレジットカード会社から不正使用の疑いがあるとの報告を受け、3月25日にサイト上でのクレジットカード決済機能を停止し、外部の調査会社に詳しい調査を依頼したところ、「Apache Struts2」の脆弱性を悪用した不正アクセスを受けていたと判明した。

　すでに同社はクレジットカード各社と連携し、情報が流出した恐れのあるクレジットカード番号による取引のモニタリングを強化して、不正使用の防止に努めているという。停止しているクレジットカード決済は、セキュリティの安全性を確認した上で再開するという。

　サイトの会員には、ログインパスワードを変更したり、クレジットカードの利用明細書に覚えのない請求がないか確認したりするように促している。クレジットカード再発行にかかる手数料、不正使用された金額などは、同社が補償するという。

　今回の不正アクセスに伴い、同社はユーザーへの対応費用などの特別損失を計上。2017年3月期通期連結業績予想を修正している。