画像:B.LEAGUE(Bリーグ)公式サイトより

2017年4月25日ぴあ株式会社は、運営を受託しているバスケットボール「Bリーグ」のチケットサイトにサイバー攻撃による不正アクセスがあり、個人情報約15万件(うち、クレジットカード情報約3万2000件)が流出した恐れがあると発表した。

事件の概要

3月17日ごろから、会員のTwitter上でクレジットカードの不正使用に関する複数の書き込みと、その後クレジットカード会社からの報告により不正使用の疑いが判明。
そのため3月25日に全てのクレジットカード決済機能を停止し、外部の専門調査会社に詳細調査を依頼。その結果、3月7~15日の期間に、当該サイトにおいて不正アクセスが確認されたという。

確認されている被害金額は630万円

ぴあ株式会社によると、流出した可能性があるのは、2016年5月16日~17年3月15日の期間中に、B.LEAGUE会員に登録した利用者の個人の住所・氏名・電話番号・生年月日・ログインID・パスワード・メールアドレスを含む個人情報15万4599件。及び、ファンクラブ会費支払いやチケット購入に利用したクレジットカード情報3万2187件。当該クレジットカード番号による不正使用の件数と金額は、4月21日時点で197件630万円。

流出したクレジットカード情報によって不正使用された金額や、クレジットカード再発行の手数料は、ぴあが補償を行うとのこと。

原因は「Apache Struts2」の脆弱性

同社によると今回の不正アクセスは、アプリケーションフレームワークの「Apache Struts2」の脆弱性を悪用していたこととしている。この脆弱性をめぐっては、以前にも東京都の都税納付サイトのクレジットカード情報が流出する事件が起きている。

関連記事:都税納付サイトへ不正アクセス、クレカ情報67万件流出の可能性

同社によると、この不正アクセスをうけ、個人情報の取得を目的とした外部からの不正なアタックに備えるため、一層のサイバーセキュリティ対策の実 装と強化を、4 月 20 日より稼働させているとのこと。
また、クレジットカード決済サービスの再開についてはまだ見通しは立っておらず、それまではコンビニエンスストアなどでの決済を勧めている。

なお、「チケットぴあ」や関連サイトと当該サイトは完全に切り離されており、今回の影響はないという。

<参考>
ぴあ社がプラットフォームを提供する B.LEAGUE チケットサイト、及びファンクラブ受付サイトへの 不正アクセスによる、個人情報流出に関するお詫びとご報告(PDF)
B.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告(PDF)
ぴあ謝罪 運営Bリーグサイトで個人情報15万件流出の恐れ/livedoor NEWS
ぴあ、最大3万2000件のクレカ情報流出/ITmediaビジネスONLiNE

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。