PR

 ぴあは2017年4月25日、同社が運営を受託しているプロバスケットボールリーグ「B.LEAGUE」関連のWebサイトから最大約15万5000件の個人情報が流出した可能性があると発表した(表1)。原因はサイトで利用していたJavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性。約3万2000件のクレジットカード情報も含まれる。

表1●Struts2のアップデートまで情報流出が続いていた
表1●Struts2のアップデートまで情報流出が続いていた
ぴあ関連の個人情報流出で起こったことを時系列でまとめた。脆弱性の公開直後から不正アクセスが始まっていたことがわかる。
[画像のクリックで拡大表示]

 不正アクセスを受けたのはB.LEAGUEチケットサイトとファンクラブ受付サイトのサーバー。B.LEAGUEチケットサイトはホットファクトリー、ファンクラブ受付サイトはききょう屋ソフトが、ぴあの発注を受けて構築した。両サイトでStruts2を使用しており、任意のコードを実行できる「S2-045」という脆弱性を悪用された。

 ぴあは当初、これらのサイトのサーバーにはクレジットカード情報は保存されていないと認識していたという。ところが3月17日ごろから、サービスを利用している複数の会員がTwitterで「クレジットカードを不正利用された」と書き込むようになった。

 これを受けてぴあは事実関係の確認を開始。クレジットカード会社からの報告により、会員のクレジットカード番号で十数件の不正使用があった疑いが判明した。ぴあは3月25日に両サイトにおけるすべてのクレジットカード決済機能を停止し、調査会社のPayment Card Forensics(PCF)に詳細な調査を依頼した。

アップデート前に不正アクセス

 4月10日のPCFからの中間報告で、不正アクセスを受けていたことが判明。4月11日には利用会員に対してログインパスワードを初期化してパスワードを再登録するよう連絡した(図1)。

図1●ユーザーにパスワードの再登録を要請
図1●ユーザーにパスワードの再登録を要請
B.LEAGUEチケットサイト(https://www.bleague-ticket.jp/index)とB.LEAGUEのファンクラブ受付サイト(https://gw.bleague-fanclub.jp/1.0/login )でパスワード再登録をユーザーに要請している(ここに示したのはB.LEAGUEのファンクラブ受付サイト)。
[画像のクリックで拡大表示]

 4月15日にはPCFから最終報告があり、流出した可能性がある情報の詳細がわかった。これを受けて4月25日に個人情報が流出した可能性があることを公表した。公表が遅れた理由は「顧客からの問い合わせに正確に対応できるように、どの顧客がどんな被害を受けた可能性があるかを把握して、クレジットカード会社と共有する必要があった。4月25日は最速のタイミングだった」(ぴあ)とする。

 不正アクセスの痕跡が確認されたのは3月7日から15日の間。3月15日にホットファクトリーとききょう屋ソフトが、対策としてStruts2をアップデートしていた。またPCFの最終報告では、ぴあが発注したサイトの仕様や運用ガイドラインと異なり、データベースや通信ログにクレジットカード情報を含む個人情報が不適切に保持されていたこともわかった。