ぴあ(株)は25日、「B.LEAGUE」(ジャパン・プロフェッショナル・バスケットボールリーグ)のチケットサイトとファンクラブ受付サイトのサーバーに不正アクセスがあり、クレジットカード情報を含む15万5000件の個人情報が流出した可能性があると発表した。
「Apache Struts2」の脆弱性を狙う
不正アクセスはアプリケーションフレームワーク「Apache Struts2」の脆弱性を狙ったもの。複数の会員が、ツイッター上にクレジットカードの不正使用について投稿したことで判明し、クレジットカード会社の報告から、3月7日~15日にかけて2サイトのWEBサーバーとデータベースサーバーに不正アクセスの痕跡が見つかった。対象となったサーバーは外部に構築されたもので、「チケットぴあ」など同社の他のサービスには影響がない。
両サイトを利用したクレジットカード番号は、十数件の不正利用の疑いが判明したため、3月25日にはサイトのクレジットカード決済機能を停止し、外部専門機関に調査を依頼した。
流出した可能性がある個人情報は、住所・氏名・電話番号・生年月日・ログインID・パスワード・メールアドレス情報が15万4599件、カード会員名・カード会員番号・有効期限・セキュリティコード情報が1万3696件、対象のクレジットカードでの決済情報が2万3025件となった。判明した不正使用は197件で、被害金額は630万円に上る。
