ぴあが運営するB.LEAGUEサイトに不正アクセス、クレジットカード情報が流出、Apache Struts 2の脆弱性を悪用

　ぴあ株式会社は25日、同社が運営する公益社団法人ジャパン・プロフェッショナル・バスケットボールリーグ（B.LEAGUE）のチケット販売用サイトとファンクラブ受付用サイトが、Apache Struts 2の脆弱性を悪用した不正アクセスを受け、最大で約15万5000件の個人情報と約3万2000件のクレジットカード情報が流出した可能性があると発表した。うち197件のカード情報が悪用され、すでに約630万円が不正に使用されたという。

　流出した可能性がある個人情報は、2016年5月16日～2017年3月15日に、B.LEAGUE会員に登録したユーザーの住所・氏名・電話番号・生年月日・ログインID・パスワード・メールアドレスの登録情報15万4599件（重複登録を除くと14万7093件)。

　うち、クレジットカード決済によるファンクラブ会費支払いを行った1万3696人と、2017年1月7日～3月13日にB.LEAGUEチケットを購入した2万3025人の重複を除いた3万2187件の決済情報（カード会員名、会員番号、カード有効期限、セキュリティコード）も流出した可能性がある。

　Apache Struts 2の脆弱性については、3月7日に開発元のApache Software Foundation が情報を公開、10日にはJPCERT/CCなどが攻撃の急増を観測し、注意を喚起していた。また、13日にはGMOペイメントゲートウェイ運営の都税支払いサイトおよび住宅金融支援機構カード支払いサイト、15日には日本郵便の「国際郵便マイページサービス」、22日にはJINSオンラインショップが、Apache Struts 2の脆弱性を悪用した不正アクセスを受けたことを発表している。

　ぴあ運営のサイトへの不正アクセスでは、3月17日ごろより、ユーザーがTwitterでクレジットカードの不正利用に関する複数の書き込みを行ったことがきっかけで発覚。その後、クレジットカード会社からの報告で、さらに十数件の不正利用の疑いが判明し、3月25日に同サイトのクレジットカード決済機能を停止し、調査が開始されていた。

　B.LEAGUEのチケット販売サイトは株式会社ホットファクトリー、ファンクラブ受付サイトは株式会社ききょう屋ソフトが構築。いずれもぴあの外部発注先となる。不正アクセスが行われたのは3月7～15日の間で、ぴあによれば、発注時の仕様や運用ガイドラインと異なり、ファンクラブサイトのデータベース上と、チケットサイトの通信ログに個人情報やカード決済情報が不適切に保持されていたことが原因だという。

　すでにパッチを適用した上で、サーバーを再構築し、4月20日よりサービスを稼働しているが、クレジットカードによる決済は、システムに情報を保持しないよう変更を加えるため、現在も停止しているとのこと。今後は決済代行会社による処理に切り替え、再開をするという。

　悪用されたことが確認されている197件のカード情報、不正使用による約630万円に加え、今後不正に使用された全額をぴあが負担する。また、ぴあではクレジットカード各社と連携してモニタリングを強化するとともに、4月11日の時点でB.LEAGUE会員向けにログインパスワードの変更を促しているという。

　なお、「チケットぴあ」のウェブサイトではApache Struts2を使用していないため、同様の問題は発生していないとのこと。