チケット販売大手の「ぴあ」はチケットサイトへの不正アクセスにより、最大でおよそ15万5000件の個人情報が流出した恐れがあると発表しました。

　「ぴあ」は運営を請け負っているバスケットボールの「Bリーグ」のチケットサイトとファンクラブの受付サイトに、先月7日から15日の間、不正アクセスが確認されたと発表しました。その結果、最大でおよそ15万5000件の個人情報が流出した恐れがあるということです。

　個人情報には、「氏名」と「住所」のほか「クレジットカード情報」も含まれていて、すでにクレジットカードの不正利用が630万円分、確認されています。

　「ぴあ」は不正利用された分については全額を補償するとしていて、当面、クレジットカードでのチケットの購入は停止するということです。

ぴあ運営のB.LEAGUEチケットサイトに不正アクセス–クレカ情報流出とされる被害も

　ぴあは4月25日、運営を受託しているB.LEAGUE（ジャパン・プロフェッショナル・バスケットボールリーグ）のチケットサイトならびに、ファンクラブ受付サイトのサーバにおいて、不正アクセスがあったことを公表。最大で約15万5000件の個人情報、約3万2000件のクレジットカード情報が流出した可能性があるとし、流出したカード番号を不正使用したとされる被害も出ているとしている。

　経緯として3月17日ごろから、利用者である会員がTwitter上で、クレジットカードの不正使用に関する複数の書き込みがあり、事実関係に関する確認を開始。その後、クレジットカード会社からの報告により、十数件の不正使用があった疑いが判明したことから、3月25日に同サイトにおけるすべてのクレジットカード決済機能を停止。詳細な調査を外部の専門調査会社に依頼したところ、3月7日から15日の間、ウェブサーバーならびにデータベースサーバへの不正アクセスの痕跡を確認したという。

　4月25日時点で流出した可能性があるのは、2016年5月16日から2017年3月15日の期間中に、B.LEAGUE会員に登録した利用者の個人情報（住所、氏名、電話番号、生年月日、ログインID、パスワード、メールアドレス）で、合計15万4599件。ファンクラブ会費の支払いやチケット購入においてクレジットカード決済を使用した利用者の決済情報（カード会員名、カード会員番号、有効期限、セキュリティコード）が合計3万2187件。また4月21日時点で、流出した可能性のあるクレジットカード番号によって不正使用された件数は197件で、被害金額は630万円としている。

　今回の不正アクセスは、アプリケーションフレームワークである「Apache Struts2」の脆弱性を悪用したものとしている。なお、対象となるサーバはB.LEAGUEチケットサイト、ファンクラブ受付サイト専用に外部で構築されたものであるため、「チケットぴあ」をはじめとするその他のサービスとは完全に切り離されたものであり、影響がないという。

　同社では、B.LEAGUE会員に向けて4月11日の途中経過報告の段階で、ログインパスワードの変更を依頼。またクレジットカード各社と連携し不正使用の防止に努めるとともに、クレジットカードの利用明細の確認を呼びかけている。また、流出したクレジットカード番号によって不正使用された金額や、クレジットカード再発行の手数料は、ぴあが補償するとしている。