2017年5月18日、ぴあ株式会社より3月に行われた不正アクセス被害報告の続報が発表されました。
当初漏えいの可能性があると指摘されていたカード情報3万2,187件とは別に、新たに6,508件の個人情報にも被害の可能性があることが発覚(総数の約15万5千件に変更はなし)。続報による被害拡大の可能性が話題を呼んでいます。
今回は、事件の概要からぴあで行われた対策などをまとめます。
事件の概要
攻撃発生からの経緯は下記の通りです。
2017年3月7日~15日 | ぴあ株式会社が運営するECコンテンツ「B.LEAGUE チケットサイト、及びファンクラブ受付サイト」が何者かにサイバー攻撃を受ける。 |
2017年3月17日 | SNSサイト「Twitter」にて、クレジットカードの不正利用に関する書き込みが続出。クレジットカード会社より、不正利用の形跡があると報告を受ける。 |
2017年3月25日 | ぴあ株式会社は、当該ウェブサイト上でのクレジットカード決済機能を停止。同時に第三者調査機関に調査を依頼する。 |
2017年4月25日 | ウェブサイト上にて、不正アクセス被害の報告と謝罪を実施。予想される被害総数は15万4,599件(うちカード関係の情報は3万2,187件)と発表。 |
2017年4月28日 | 同社CCOを委員長とする再発防止委員会を組成。再発防止に向けて取り組む。 |
2017年5月18日 | 第三者調査機関の報告を受けて、ウェブサイト上で続報を発表。既に公表されていたカード情報3万2,187件とは別に、新たに6,508件の漏えいの可能性があることを公開。 |
2017年6月~ | 被害者に対して順次お詫びの品を送付する。 |
流出した情報
1. 会員登録をしたユーザーの個人情報
2016年5月16日~2017年3月15日の期間中に、B.LEAGUE 会員登録した人の個人情報、15万4,599件。
- 住所
- 氏名
- 電話番号
- 生年月日
- ログインID
- パスワード
- メールアドレスの登録情報等
2. クレジットカード決済を行ったユーザーの個人情報
2016年5月16日~2017年3月15日の期間中にファンクラブ会費の支払い及びチケット購入を、クレジットカード決済で行った人の個人情報、3万2,187件+6,508件(今回の追加報告分)。合計3万8,695件。
- カード会員名
- カード会員番号
- 有効期限
- セキュリティコード
情報流出が起こった原因
第三者調査機関の報告によると、フレームワーク「Apache Struts2」の脆弱性を利用した外部からのサイバー攻撃だと明らかになっています。
また、ぴあ株式会社ではカードの決済情報は当該サーバ上に保存されないと認識していたものの、実際は委託先企業において、ぴあ株式会社が提示した運用ガイドラインと異なる取扱いを行っており、今回の情報流出の原因となりました。
事件後の対策
再発防止策
- 「Apache Struts2」のバージョンアップを行い、脆弱性を修正。
- サーバの再構築を行い、セキュリティ性を向上。
- ファイヤーウォールを強化し、不正アクセスに備える。
- 取り扱う情報の種類に関わらず、運用ガイドラインの徹底を行う。
- 同社CCOを委員長とする、再発防止チームを結成。
顧客対応
- 想定される被害者に対して、お詫びの品を発送。
- ウェブサイト上での不正アクセスの報告と謝罪。
- 専用相談ダイヤルの設置。
- 2017年7月6日より「電話番号認証」を実施。悪用されやすい不正なIDの取得を防ぐ。
最後に
今回の不正アクセスはアプリケーションフレームワークである「Apache Struts2」の脆弱性を利用した、巧妙なサイバー攻撃です。また、本件は同時期に多発していた不正アクセスの手法であり、攻撃対象であった「Apache Struts2」の脆弱性は2017年3月10日に独立行政法人情報処理推進機構より指摘されていました。
ぴあ株式会社によると同社は本件に関する脆弱性を10日時点で認識していたとのこと。仮にこの時点で確認を行っていれば、被害の発生(7日~15日)をある程度抑制することができたものと考えられます。
運用ガイドラインの徹底は急務
また、運用ガイドライン上の取り決めが実際に行われているかを確認することも大切です。
今回の事件は委託先企業が取り決めと異なる運用を行った結果として発覚した事件。(容易なことではありませんが)自社スタッフによる調査や監査など、何らかの手法を用いて実際の運用面を実施すべきだと言えるでしょう。
第三者調査機関の調査は必須
もし、不正アクセス被害に遭った場合は、第三者調査機関へ素早い調査依頼が望ましいと考えられます。第三者調査機関の調査報告はカード会社との連絡相談に必要なだけでなく、より正確な事態の把握に繋がるからです。
特に今回の不正アクセス事件では、第1報と続報の被害件数が異なっています。仮に続報が公開されていなければ、より深刻な被害の拡大に繋がったかもしれません。第三者調査機関への依頼はリスク管理の為にも、最優先すべき被害対応だと言えます。
電話番号認証システムの導入は、サイバー攻撃の抑制に繋がるか
ぴあ株式会社は2017年7月6日から、チケット販売サイト「チケットぴあ」にて電話番号による認証システムを実装することを発表しました。これはチケットの先着購入、抽選申込時に電話番号による確認を行うというもので、不正なIDの大量取得や転売防止の抑制効果が期待できると注目を集めています。
直接サイバー攻撃に関わってくる対策ではありませんが、ID管理に対するセキュリティ性が増すことで不正な決済を抑制する効果が期待できるでしょう。
<参照>
「B.LEAGUE チケットサイト及びファンクラブ受付サイトにおける個人情報流出事案に関する、その後のお詫びとご報告」 /ぴあ株式会社(PDF)