15.5万件余りの個人情報流出か　プロバスケリーグ、チケットサイトの不正アクセスについてぴあが謝罪

　チケット販売会社「ぴあ」は4月25日、プロバスケットボールリーグ・B.LEAGUEのチケットサイトおよび、ファンクラブ受付サイトで不正アクセスが確認されたと発表しました。個人情報15万4599件に流出の可能性があるとのこと。

　ぴあによると2016年5月16日から2017年3月15日までB.LEAGUEに会員登録した人に被害の可能性があるといい、流出したのは住所・氏名・電話番号・生年月日・ログイン ID・パスワード・メールアドレスの登録情報などの個人情報。そのうちクレジットカードの不正利用についての被害は、4月21日までに判明しているものが197件（被害額630万円）で、被害額はクレジットカード会社を通じてぴあが全額補償するとしています。

　流出の原因となったのはアプリケーションフレームワークである「Apache Struts2」の脆弱性をついた不正アクセスで、ぴあは3月10日時点で脆弱性が存在していることを把握していましたが、当初はB.LEAGUEチケットサイトやファンクラブ受付サイトに関連するWebサーバ上にクレジットカード情報は保存されていないとの認識だったと説明しています。

　ところが3月17日ごろからTwitter上でB.LEAGUEチケットサイトや、ファンクラブ受付サイトの利用者から、「カード会社から不正利用の疑いがあるとの連絡があった」「テーマパークのチケットを不正に購入されたようだ」などと、クレジットカードの不正利用を疑う声が相次ぎました。

　これを受けてぴあが調査したところ、外部発注先であるききょう屋ソフトが構築したファンクラブ受付サイトと、ホットファクトリーが構築したB.LEAGUEチケットサイトにおいて、「ApacheStruts2」への攻撃による不正アクセスが確認されました。

　一連の不正アクセスについてぴあは、「お客さまならびに関係各位に多大なるご心配とご迷惑をお掛け致しますことを、心より深くおわび申し上げます」と謝罪。「今回の事態を重大かつ厳粛に受け止め、お客さまへの適切な対応と、再発防止対策を徹底してまいります」としています。

　なお、B.LEAGUE公式サイトにも「B.LEAGUEチケットサイト、およびファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するおわびとご報告」とするリリースが掲示されており、大河正明チェアマンは「このたびは、大切なお客さまの個人情報の取り扱いにおいてこのような事態となり、多大なるご迷惑、およびご心配をお掛けし、誠に申し訳ございません。深くおわび申し上げます。今回の事態を重大かつ厳粛に受け止め、お客さまへの適切な対応と、安心してご利用いただけるよう再発防止策を実行し、全力で信頼回復に取り組んでまいります」とコメントしています。

（Kikka）