ぴあは2017年4月25日、同社が運営を受託しているプロバスケットボールリーグ「B.LEAGUE」関連のWebサイトから最大約15万5000件の個人情報が流出した可能性があると発表した(表1)。原因はサイトで利用していたJavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性。約3万2000件のクレジットカード情報も含まれる。
不正アクセスを受けたのはB.LEAGUEチケットサイトとファンクラブ受付サイトのサーバー。B.LEAGUEチケットサイトはホットファクトリー、ファンクラブ受付サイトはききょう屋ソフトが、ぴあの発注を受けて構築した。両サイトでStruts2を使用しており、任意のコードを実行できる「S2-045」という脆弱性を悪用された。
ぴあは当初、これらのサイトのサーバーにはクレジットカード情報は保存されていないと認識していたという。ところが3月17日ごろから、サービスを利用している複数の会員がTwitterで「クレジットカードを不正利用された」と書き込むようになった。
これを受けてぴあは事実関係の確認を開始。クレジットカード会社からの報告により、会員のクレジットカード番号で十数件の不正使用があった疑いが判明した。ぴあは3月25日に両サイトにおけるすべてのクレジットカード決済機能を停止し、調査会社のPayment Card Forensics(PCF)に詳細な調査を依頼した。
アップデート前に不正アクセス
4月10日のPCFからの中間報告で、不正アクセスを受けていたことが判明。4月11日には利用会員に対してログインパスワードを初期化してパスワードを再登録するよう連絡した(図1)。
4月15日にはPCFから最終報告があり、流出した可能性がある情報の詳細がわかった。これを受けて4月25日に個人情報が流出した可能性があることを公表した。公表が遅れた理由は「顧客からの問い合わせに正確に対応できるように、どの顧客がどんな被害を受けた可能性があるかを把握して、クレジットカード会社と共有する必要があった。4月25日は最速のタイミングだった」(ぴあ)とする。
不正アクセスの痕跡が確認されたのは3月7日から15日の間。3月15日にホットファクトリーとききょう屋ソフトが、対策としてStruts2をアップデートしていた。またPCFの最終報告では、ぴあが発注したサイトの仕様や運用ガイドラインと異なり、データベースや通信ログにクレジットカード情報を含む個人情報が不適切に保持されていたこともわかった。
