ぴあは4月25日、運営を受託しているB.LEAGUE(ジャパン・プロフェッショナル・バスケットボールリーグ)のチケットサイトならびに、ファンクラブ受付サイトのサーバにおいて、不正アクセスがあったことを公表。最大で約15万5000件の個人情報、約3万2000件のクレジットカード情報が流出した可能性があるとし、流出したカード番号を不正使用したとされる被害も出ているとしている。
経緯として3月17日ごろから、利用者である会員がTwitter上で、クレジットカードの不正使用に関する複数の書き込みがあり、事実関係に関する確認を開始。その後、クレジットカード会社からの報告により、十数件の不正使用があった疑いが判明したことから、3月25日に同サイトにおけるすべてのクレジットカード決済機能を停止。詳細な調査を外部の専門調査会社に依頼したところ、3月7日から15日の間、ウェブサーバーならびにデータベースサーバへの不正アクセスの痕跡を確認したという。
4月25日時点で流出した可能性があるのは、2016年5月16日から2017年3月15日の期間中に、B.LEAGUE会員に登録した利用者の個人情報(住所、氏名、電話番号、生年月日、ログインID、パスワード、メールアドレス)で、合計15万4599件。ファンクラブ会費の支払いやチケット購入においてクレジットカード決済を使用した利用者の決済情報(カード会員名、カード会員番号、有効期限、セキュリティコード)が合計3万2187件。また4月21日時点で、流出した可能性のあるクレジットカード番号によって不正使用された件数は197件で、被害金額は630万円としている。
今回の不正アクセスは、アプリケーションフレームワークである「Apache Struts2」の脆弱性を悪用したものとしている。なお、対象となるサーバはB.LEAGUEチケットサイト、ファンクラブ受付サイト専用に外部で構築されたものであるため、「チケットぴあ」をはじめとするその他のサービスとは完全に切り離されたものであり、影響がないという。
同社では、B.LEAGUE会員に向けて4月11日の途中経過報告の段階で、ログインパスワードの変更を依頼。またクレジットカード各社と連携し不正使用の防止に努めるとともに、クレジットカードの利用明細の確認を呼びかけている。また、流出したクレジットカード番号によって不正使用された金額や、クレジットカード再発行の手数料は、ぴあが補償するとしている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」