ぴあ、チケットサイトから個人情報15万件流出か カード情報も
「Apache Struts 2」の脆弱性を悪用した不正アクセスを受け、ぴあが運営するB.LEAGUEのチケットサイト、ファンクラブサイトから個人情報が流出。
ぴあは4月25日、同社が運営するB.LEAGUE(ジャパン・プロフェッショナル・バスケットボールリーグ)公式チケットサイトとファンクラブサイトが、「Apache Struts 2」の脆弱性を悪用した不正アクセスを受け、最大15万4599件の個人情報が流出した恐れがあると発表した。クレジットカード情報も流出し、すでに197件の不正使用を確認しているという。
流出した可能性があるのは、個人情報(住所、氏名、電話番号、生年月日、ログインID、パスワード、メールアドレス)15万4599件(複数クラブへの重複登録を除くと14万7093件)。
このうち、B.LEAGUEチケットをクレジットカード決済で購入した2万3025人、ファンクラブ会費をカード払いした1万3696人、重複を除くと計3万2187件の決済情報(カード会員名、会員番号、カード有効期限、セキュリティコード)も流出した恐れがある。流出したクレジットカード情報のうち、197件、約630万円の不正使用を確認しているという(4月21日時点)。
被害を受けたサイトは、同社が外部委託したききょう屋ソフト、ホットファクトリーのサーバに構築されたもの。外部委託先のデータベースでは、個人情報を保持しないように運用ガイドラインを定めていたが、実際には不適切に保持されていたといい、流出の原因になったという。同社は「確認の徹底が不十分だった」と謝罪し、現行システムとガイドラインの見直しなどを進めているという。
「チケットぴあ」など同社が運営する他サービスは、被害を受けたサイトとは完全に切り離されており、不正アクセスは確認していないという。
同社は3月17日ごろ、会員がTwitter上でクレジットカードの不正使用に関する書き込みがあることを確認し、事実関係を調査。クレジットカード会社から不正使用の疑いがあるとの報告を受け、3月25日にサイト上でのクレジットカード決済機能を停止し、外部の調査会社に詳しい調査を依頼したところ、「Apache Struts2」の脆弱性を悪用した不正アクセスを受けていたと判明した。
すでに同社はクレジットカード各社と連携し、情報が流出した恐れのあるクレジットカード番号による取引のモニタリングを強化して、不正使用の防止に努めているという。停止しているクレジットカード決済は、セキュリティの安全性を確認した上で再開するという。
サイトの会員には、ログインパスワードを変更したり、クレジットカードの利用明細書に覚えのない請求がないか確認したりするように促している。クレジットカード再発行にかかる手数料、不正使用された金額などは、同社が補償するという。
今回の不正アクセスに伴い、同社はユーザーへの対応費用などの特別損失を計上。2017年3月期通期連結業績予想を修正している。
Apache Struts 2の脆弱性を狙った不正アクセスは、3月初旬から同時多発的に発生。これまでにGMOペイメントゲートウェイ、日本郵便、眼鏡ブランド「JINS」を運営するジェイアイエヌ、総務省などが相次いで被害を受けている。
関連記事
- Struts 2の脆弱性悪用 総務省サイトから個人情報2万件超流出のおそれ
Struts 2の脆弱性を悪用した不正アクセス被害がまた判明した。 - 「JINS」に不正アクセス 個人情報75万件流出の可能性 Struts 2の脆弱性悪用
「Apache Struts 2」の脆弱性を悪用した不正アクセス事件がまた。 - 最新ビジネスメール詐欺 だましの手口は「メールアドレスで嘘をつく」
IPAがビジネスメール詐欺の手口について事例に基づき注意喚起している。 - 「誕生日をパスワードにしないで」――政府機関が注意喚起 芸能人のメールのぞき見事件で
情報処理推進機構(IPA)が、誕生日などSNSで公開している情報をパスワードに設定しないように注意喚起。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.