ぴあ、運営サイトから個人情報流出!クレジットカードの不正利用も
2017年4月25日、チケット販売大手びあ株式会社は、国内バスケットボールリーグ「Bリーグ」のチケット販売サイト及びファンクラブ受付サイトに不正アクセスを受け、個人情報が漏洩した可能性があることを発表しました。
漏洩した個人情報は15万件を超える可能性があり、中にはクレジットカード情報も含まれ、不正利用の被害も確認されたということです。
漏洩した個人情報と被害の内容は?
びあによると、当該ウェブサイトから約154,599件の個人情報が外部に漏洩した可能性があることを明らかにしました。
また、5月18日の経過報告によると、漏洩した個人情報には最大38,695件のクレジット決済情報が含まれており、5月8日時点に判明しているだけで不正利用が379件確認され、被害額は約880万円であると公表しました。被害については、ぴあが全額補償するということです。
漏洩した個人情報をまとめると、以下のようになります。
| 個人情報の種類 | 個人情報の内容 | 件数 |
|---|---|---|
| 会員情報 | 氏名・生年月日・電話番号・Eメールアドレス・住所・サイトID・パスワードなど | 38,695件 |
| クレジット決済情報 | クレジットカード番号・登録会員名・セキュリティコード・有効期限など | 154,599件 |
サイトから個人情報が漏洩した原因は?
ぴあは、Apache Software Foundation(ASF)が無償で提供するフレームワーク「Apache Struts 2(以下、Struts)」を、当該サイトの基盤として使用していました。
不正アクセスは、このStrutsが持つ脆弱性を利用して行われました。
Strutsには以前から脆弱性が問題視されており、経産省が管轄する独立行政法人情報処理推進機構(IPA)からも注意喚起が行われていました。また、この脆弱性による同様の被害は、他の企業でも多く報告されています。
関係者の事件前後の動き
事件の経緯と関係者の動きを、時間軸に沿ってまとめました。
3月19日
- Bリーグウェブサイトに登録したクレジットカードの不正利用を疑う投稿を多数あることを確認。
また、当該内容について問い合わせを受ける。
3月20日
- ぴあ調査の結果、不正アクセスなどの痕跡は確認できなかったとBリーグに報告する。
- Bリーグぴあの報告を受け、「不正アクセスなし」との見解を公式SNSでリリースする。
3月21日
- ぴあBリーグに調査結果についての報告書を提出する。
3月24日
- ぴあクレジットカード会社からカードの不正利用が疑われるとの連絡を受け、Bリーグ側に、当該サイトのクレジット決済機能を停止し、外部専門機関による調査を提案する。
3月25日~27日
- ぴあ当該サイトのクレジット決済を停止したうえ、関係サイトでここまでの経緯と対応を公表する。
また、25日~26日の全試合会場で職員による相談対応を行い、電話相談の専用窓口を設置する。
4月7日~9日
- ぴあ試合会場での相談対応を引き続き行う。
4月10日
- ぴあ外部機関による調査結果を受け、3月7日~15日の間に不正アクセスの痕跡があったことが判明し、Bリーグ側にその内容を報告する。
4月11日
- ぴあ当該サイトに登録されているログインパスワードを全てリセットし、登録会員宛てにEメールを送信し、パスワードの再設定を行うよう促す。
4月25日
- ぴあ公式に不正アクセスがあったことを認め、明らかになった内容を発表する。
5月18日
- ぴあ事件について経過報告を発表。
漏洩した可能性があるクレジットカード情報の件数を上方修正。あらたに6,508件が対象に加わり、合計38,695件になるとの見方を示す。
7月13日
- Bリーグウェブサイトで、クレジットカード決済再開についての現状報告を行う。
(この時点でカード決済再開の具体的な見通しは発表されず。)
ぴあの対応に問題点はなかったか?
先述の通り、サイトを構築するためのフレームワーク「Struts2」の脆弱性はたびたび報告されていました。
しかし、報告資料によると、ぴあはこの脆弱性については事故直前の3月10日にIPAの発表で初めて把握したとしています。また、3月20の調査報告では「不正アクセスの痕跡なし」としていたことから、初動調査においてもこの脆弱性が考慮されていなかった可能性が高いと言えます。
その結果、3月24日にクレジットカード会社から連絡を受けるまで、会員に対して特にケアは行わなかったことで、被害が拡大してしまった可能性があります。
報告では、サイト製作を委託発注していたとしていますが、システムの脆弱性など、リスク要因になるものについては、できる限り早い段階から情報収集し、関係者と共有しておくのが望ましいのではないでしょうか。
また、初動調査の精度についてもあらためて検証する必要がありそうです。
4月25日の発表では、再発防止策として「Struts2」のバージョンアップを行い、サイバー攻撃を検知するシステムなどを実装し、すでに稼働させていると発表しました。これにより、テクニカルな面でのある程度のセキュリティアップはなされたと考えて良いかと思います。
ただし、ここまでで述べたように、事前の情報収集や連絡、初動調査など、人的な面でのセキュリティ体制には課題が残ると思います。
