ぴあは5月18日、4月25日に公表した、運営を受託しているB.LEAGUE(ジャパン・プロフェッショナル・バスケットボールリーグ)のチケットサイトならびに、ファンクラブ受付サイトのサーバにおいて、不正アクセスがあり、個人情報が流出した恐れがある件について、新たに6508件のクレジットカード情報が流出した可能性があることを公表した。今回の不正アクセスにより、流出した可能性があるクレジットカード情報は公表済みのとあわせて合計3万8695件。
この不正アクセスは、B.LEAGUEのチケットサイトならびにファンクラブ受付サイトに、アプリケーションフレームワークである「Apache Struts2」の脆弱性を悪用したものとしており、3月に発覚したという。
4月25日に公表した際には、ファンクラブ会費の支払いやチケット購入においてクレジットカード決済を使用した利用者の決済情報(カード会員名、カード会員番号、有効期限、セキュリティコード)の合計3万2187件が流出した可能性があるとしていたが、第三者専門調査機関であるPayment Card Forensicsから、新たに6508件の流出した可能性があるとし、対象として追加するという。
また前回公表時に、流出した可能性のあるクレジットカード番号によって不正使用された件数は197件で、被害金額は約630万円と公表していたが、5月8日時点で件数は379件、被害金額は約880万円としている。不正使用分の補償は、クレジットカード各社を通じて全額をぴあが負担するとしている。
クレジットカードサービスについては3月の段階で決済機能を停止。再開の見通しについては、クレジットカード情報の非保持、非処理、非通過化と、決済代行会社による処理方式への切り替えを進めているものの、再発防止策の完了とカード会社からの承認を待ってからの再開となるため、同社では「今シーズン中の復旧は困難な状況」としている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス