ぴあ https://twitter.com/news_pia

4月25日、チケット販売大手である「ぴあ」が、運営を受託しているB.LEAGUE(ジャパン・プロフェッショナル・バスケットボールリーグ)のチケットサイトとファンクラブ受付サイトが不正アクセスを受け、最大約15万5000件の個人情報と3万2000件のカード情報流出した可能性がある事を発表しました。事件の経緯とカード不正利用被害についての対応方法などをまとめています。

 

「ぴあ」運営サイト、情報15万5千件流出か

チケットぴあ https://twitter.com/news_pia

チケット販売大手「ぴあ」(東京都渋谷区)は25日、ぴあが運営を受託している男子プロバスケットボール「Bリーグ」のチケット販売サイトなどがサイバー攻撃を受け、顧客情報約15万5000件が流出した可能性があると発表した。

このうち計3万2187件分はクレジットカード情報も含まれており、21日時点で197件、約630万円の不正使用が確認されたという。

流出の可能性があるのは、昨年5月16日~今年3月15日の間にBリーグ会員に登録した顧客の住所、氏名、電話番号、生年月日、メールアドレスなど。

チケット代金やファンクラブ会費をクレジットカードで支払った顧客については、カード番号、有効期限、セキュリティーコードも流出した恐れがあるという。

3月中旬、カードの不正使用の情報が寄せられたことから発覚。同社で調査したところ、同月上旬~中旬、サーバーへの不正アクセスの痕跡が確認された。

不正使用されたカードでは、人気テーマパークの入場券など換金性の高いチケット類が購入されていた。ぴあは不正使用の被害を全額負担するとしており、専用窓口(0120・800・152)で問い合わせを受け付けている。

https://news.infoseek.co.jp/article/20170425_yol_oyt1t50057/

web上でのクレジットカード決済を取り入れてる企業にとって顧客情報の流出だけでも大変な事ですが、さらにカードの不正使用まで発覚し被害総額が630万円超えというのはかなり致命的ですね。イメージダウンは免れないでしょう。

今回は不正使用されたカードの被害金についてはぴあが全額負担で対応するようですが、今後ぴあが販売を受託しているweb上でのクレジットカード決済や個人情報登録に抵抗を覚えるユーザーが増える事は間違い無さそうです。

 

ぴあ顧客情報流出、及びカード不正使用発覚までの経緯

顧客情報流出 http://www.nikkeibp.co.jp/article/miraigaku/20140728/409188/
3/19(日)

朝: お客様よりリーグ宛にメールで問い合わせと、SNS上でBリーグチケットをご利用になられたと思われるお客様のクレジットカードの不正利用に関する書き込みが複数あり、運営・委託先であるぴあへ調査を依頼。

3/20(月)

13:45: ぴあより「調査継続中も現時点で不正アクセス等の形跡なし」との経過報告。

14:00: リーグ公式SNSにて13:45現在の不正アクセスはなしとの調査結果を発表。

3/21(火)

ぴあより、独自の調査結果により、クレジットカード情報の流出に関する不正なアクセスは確認されなかったとの報告書を受領。

3/24(金)

16:30: ぴあから「クレジットカード会社から十数件の不正引き落としに関する連絡が入り、B.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスにおけるカード決済機能停止と専門の第三者機関を入れた詳細な調査をしたいとの要望の電話連絡を受ける。

19:45: ぴあ来社し、リーグ事務局に対し詳細報告。改めてB.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスにおけるカード決済機能停止要請を受ける

3/25(土)

1:25: B.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスでのカード決済機能停止。


4:30: ぴあ・リーグ両社の公式ホームページにお知らせを掲載。あわせて同日行なわれる全試合にぴあスタッフを試合会場に派遣し、問い合わせ対応を実施。

3/26(日)

前日に引き続き、全試合にぴあスタッフを試合会場に派遣し、問い合わせ対応を実施。

3/27(月)

16:00: 電話によるお客様問い合わせ窓口を開設。

4/7(金) : ぴあスタッフを試合会場に派遣し、問い合わせ対応を実施。

※4/8(土)~4/9(日)も同様にぴあスタッフを派遣。

4/10(月)

ぴあより、第三者機関調査の中間報告。「Apache Struts2」の脆弱性をついたサイバー攻撃による不正アクセスの痕跡があったことが報告される。

4/11(火)

2:30: 4/10(月)の報告を受け、万が一の事態を想定し、ファンクラブサイトおよびB.LEAGUEチケットサイトにご登録済みのパスワードを全て初期化(9:00完了)。

10:00: 両社ホームページにお知らせを掲載し、あわせて電子メールにてお客様にパスワードの再登録のお願いを連絡。

4/16(日)

ぴあより、第三者機関の最終報告を受領。当初のシステム発注仕様と異なり、クレジットカード情報やログなどの情報が不適切に委託先のWebサーバー上に保持されていたことが判明。

ファンクラブサイトおよび、B.LEAGUEチケットサイトの開設にあたりシステム開発に使用したウェブアプリケーションを開発するためのソフトウェアフレームワークである「Apache Struts2」の脆弱性を突いたサイバー攻撃を受け、サーバー上に不正なプログラムを設置されたことにより情報流出の可能性があったとの報告。 あわせて流出件数(可能性含む)も共有。

4/25(火)

クレジットカード会社、関係省庁等に相談の上、発表後のお客さまへの対応を優先し、今般のタイミングで発表。

https://www.bleague.jp/news/23536.html

Bリーグは3月に不正使用を把握し、ぴあへ調査を依頼するも結果は「不正なアクセスは無かった」


3月19日の時点で、

お客様よりリーグ宛にメールで問い合わせと、SNS上でBリーグチケットをご利用になられたと思われるお客様のクレジットカードの不正利用に関する書き込みが複数あり

とあるのでBリーグ側は事態を把握していたようですね。しかし運営・委託先であるぴあへ調査を依頼した結果、

ぴあより、独自の調査結果により、クレジットカード情報の流出に関する不正なアクセスは確認されなかったとの報告書を受領。

との事なので、何故ここで不正アクセスの形跡をぴあが確認する事が出来なかったのかが疑問ですね。調査に問題があったと思われても仕方がなさそうです。3日後の24日にぴあ側から、

「第三者機関を入れた詳細な調査をしたい」

とBリーグへ申し入れているので、この段階でぴあも不正使用の被害を把握したものと思われます。

 

Bリーグの大河正明チェアマンが謝罪

大河正明 https://www.bleague.jp/column/column01.html
Bリーグは4月25日、Bリーグのチケットサイト及びファンクラブ受付サイトの運営、委託先であるチケット販売サイト「ぴあ」から何者かのサイバー攻撃による不正アクセスがあったことを発表。

この件についてBリーグの大河正明チェアマンは、

「このたびは、大切なお客様の個人情報の取り扱いにおいてこのような事態となり、多大なるご迷惑、およびご心配をお掛けし、誠に申し訳ございません。深くお詫び申し上げます」

と謝罪し、

「今回の事態を重大かつ厳粛に受け止め、お客様への適切な対応と、安心してご利用いただけるよう再発防止策を実行し、全力で信頼回復に取り組んでまいります」

とコメントした。

https://headlines.yahoo.co.jp/hl?a=20170425-00012112-bballk-spo

Bリーグ公式web上のリリースに「B.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告」として大河正明チェアマンの謝罪コメントが掲載されているようです。

「B.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告」

https://www.bleague.jp/news/23536.html

ぴあ株式会社のリリースはこちら

「ぴあ社がプラットフォームを提供するB.LEAGUE チケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告」

http://corporate.pia.jp/news/files/security_incident20170425.pdf

 

不正アクセス目的で脆弱性をつかれたApache Struts2って?

Apache Struts2 https://www.slideshare.net/jpcert_securecoding/no02-apache-struts2

Apache Struts2とは、ウェブアプリケーションを開発するための環境を整えるソフトウェアフレームワークです。つまり、ウェブサイトを構築する時に大活躍するのがこのApache Struts2というものです。

ウェブサイト構築に関わるということは、そのフレームワークに脆弱性があると不正アクセスしやすくなってしまいますよね。そして、今回の不正アクセスも、このApache Struts2の脆弱性をついたものだったようです。

Apache Struts2は、多くのウェブサイト構築のために利用されていますが、過去にも不正アクセスされたという事例があり、その脆弱性が繰り返し指摘されていました。

例えば、日本郵便や沖縄電力やニッポン放送のウェブサイトもApache Struts2が使われており、サイトの内容が勝手に改ざんされてしまうなどの被害を受けていたようです。

しかし、ここまで大規模な不正アクセスと情報漏えい、さらにはクレジットカードの不正利用まであると、今後はApache Struts2を使うユーザーは減っていくのではないでしょうか。

https://black-news.jp/pia-ryusyutsu/

過去にもApache Struts2の脆弱性をついた不正アクセス被害が報告されていたようですね。繰り返し指摘しているにも関わらず不正アクセスの被害が絶えないという事は、もはや防ぎようが無いのかもしれません。

日本郵便や沖縄電力やニッポン放送のウェブサイトもApache Struts2が使われており

との事なので、かなり大手の有名企業も使用しているようです。今回の報道により、同じApache Struts2を使用している企業の間でも話題になりそうですね。

 

クレジットカード不正使用を防ぐには?被害に遭った場合の対処方法

クレジットカード https://www.tohoku-epco.co.jp/dprivate/pay/credit.html

もし不正利用の被害にあった場合、カード会社は補償をしてくれる?


まずは、もっとも肝心な部分。「不正利用によって発生した損害額は一体だれが補償するのか?」ということ。これは、もちろんカード会社が ”全額” 補償してくれます。

すべてのクレジットカードには「盗難保険」と呼ばれる不正利用での損害を補償してくるサービスが付帯されていますので、何十万だろうが、何百万何千万だろうが、私たちは一切補償する必要はありません。

実際に、そこまで高額な限度額設定のクレジットカードをもっている方は少ないとは思いますが、大切なポイントは ”補償される額に上限はない” ということです。

まぁこれは当然といえば当然のことかもしれませんね。仮に、不正利用の被害額を利用者側が負担するとなった場合、一体誰がクレジットカードを利用するのかということです。そんな危険な物は誰も持ち歩かないはずです。

ですので、盗難保険はクレジットカードを普及させるためには必然とも言えるサービスなのかもしれませんね。

http://creca-gensen.com/archives/451#i

基本的には不正使用の被害額はカード会社が全額負担してくれるとの事。かといって「被害にあっても自分で支払わなくて良いので大丈夫なんだ!」と心配するのは大きな間違いです。

個人情報を悪意のある人間に握られているというだけで十分なリスクがあるので、自衛するよう心がけましょう。

カードの不正利用に気付いた!どうしたらいい?まずすべき事とは


では、実際に不正利用の被害にあった場合の対処法について見ていきたいと思います。毎月送られてくる請求書や引き落とし口座を確認した際に、心当たりのない請求があった場合には、不正利用の被害にあってる可能性が極めて高いです。

ただ、勘違いだったという場合もありますので、まずは落ち着いて「本当に自分で利用していないのか?」ということを再度確認してみてください。意外と、単に忘れていただけというケースは多いみたいですよ。

「やっぱり使った覚えはない」という場合には、すぐにカード会社のコールセンターに連絡を入れてください。連絡先は、請求書やカードの裏面に記載されていますのですぐに見つけることができるかと思います。

「カードを盗まれた!」「カードを紛失した!」といった場合には、カード会社が設置してある専用窓口「カード紛失・盗難受付デスク」へ連絡を入れてください。それと並行して、最寄りの警察・交番にも「紛失・盗難届け」を出します。

http://creca-gensen.com/archives/451#i

不正使用に気付いたら、まずはカード会社のコールセンターへの電話が最優先です。そこでオペレーターの指示に従い落ち着いて行動するようにしましょう。

カード会社の盗難保険が適用されないケースもあるので要注意

カード会社の盗難保険はクレジットカード利用者にしてみればは、非常に助かるシステムではありますが、必ずしも適用されるという訳ではないそうです。 クレジットカードの会員規約や、カード会社のサイト上には、以下の一文が必ず入っています。

「会員に重大な過失がないと判断した場合は補償する」

と。会員に重大な過失があったと判断された場合には、カード会社は一切の補償をしてくれないということです。盗まれたのではなく、「自らの意思で友達に貸した」 などですね。

会員規約は知らなかった読まなかったでは済まないので、しっかりと把握しておくようにしましょう。

 

ネット上の反応

2chでの反応


5名無しさん@1周年2017/04/25(火)13:02:45.12 ID: VQOkBN1dO.net

こーいうの恐いから、カード情報渡さない為に
ネット通販は代引きにしてる




84名無しさん@1周年2017/04/25(火)14:06:34.20 ID: eJor7h9D0.net

>>5
こういったケースの損失はカード会社が保障してくれるから実害はあまりないけどな
漏れた情報は消せないからそっちのが問題




105名無しさん@1周年2017/04/25(火)14:52:54.52 ID: f7oIgDJf0.net

>>5
ネットバンキングって手もあるよ

カードは情報抜かれただけで他人が使えるが
こっちは途中に確認が入る。
確認パスワードがメールで来てそれをその場で入れないとだめだったりなど
番号だけわかっても支払えない
(その代わり、一手間めんどうだけど代引きみたいに手数料は取られない)




8名無しさん@1周年2017/04/25(火)13:03:23.88 ID: /pFiTDYR0.net

情報流出はともかくカード不正利用はやべーな




35名無しさん@1周年2017/04/25(火)13:13:12.82 ID: rT4N3b3+0.net

>>8
>情報流出はともかくカード不正利用はやべーな

いや、むしろ情報の方が嫌だな
サイト側の不手際でのカード不正利用なんて保険でカバーできる




9名無しさん@1周年2017/04/25(火)13:03:36.91 ID: mENjHxH40.net

プロバスケリーグってイマイチ盛り上がってないけど、これでまた水注されたな
観客減りそう




11名無しさん@1周年2017/04/25(火)13:04:51.20 ID: g12HAbvG0.net

えぇーぴあ使ってのんに勘弁してよー




16名無しさん@1周年2017/04/25(火)13:06:02.00 ID: WCj8Y3+e0.net

クレカ使用まで行くのは珍しいな
南無




27名無しさん@1周年2017/04/25(火)13:08:32.04 ID: X0tMwR4M0.net

Bリーグチケット

>現時点では不正なアクセスや流出の形跡は認められておりません
って3月にプレスリリース出してたよな




42名無しさん@1周年2017/04/25(火)13:17:58.74 ID: GNikIUKY0.net

リリース読むとバスケ関連だけみたいだな。
まぁ、今年、ぴあで払ったチケット代全額返金ということで手を打とう
つ6万円




63名無しさん@1周年2017/04/25(火)13:33:17.79 ID: usxRSkAC0.net

> クレジットカードの不正使用が197件、金額にして630万円分、確認されている

これは非道い お詫びに500円程度の粗品じゃダメだな




65名無しさん@1周年2017/04/25(火)13:34:11.59 ID: p2BEHKfW0.net

カード情報の削除とかあるけど、こんなんしても会社はそのまま保存してるんだろ




71名無しさん@1周年2017/04/25(火)13:41:15.34 ID: pqs3ywDU0.net

>>65
普通はサーバー障害時の復旧用に過去何世代かバックアップ取って保存してると思う




75名無しさん@1周年2017/04/25(火)13:49:55.78 ID: WJEi/9wZ0.net

あ〜あ、ぴあもやっちまったかぁ。




106名無しさん@1周年2017/04/25(火)14:53:24.23 ID: gr9kXR+l0.net

この会社のセキュリティはザルすぎる




107名無しさん@1周年2017/04/25(火)14:53:44.91 ID: J/u52ndK0.net

Paypalが日本でも普及すればなあ




引用元:【情報流出】ぴあ 個人情報約15万件流出か サイトに不正アクセス カードの不正使用も、197件630万円分確認

twitterでの反応

 

まとめ

確かにオンラインでのクレジットカード決済は非常に便利ですが、こういった顧客情報の流出や不正使用の被害に遭うリスクが常につきまとう事を ついつい忘れがちになってしまいます。

「まさか自分が被害に遭う事はないだろう」と油断せず、個人個人が出来る限りの対策を行って自身の情報は自分で守るよう心がけましょう。

最後までお読み頂きありがとうございました。