ぴあ、15万件情報流出か ソフトの脆弱性を突く

2017/4/25 22:07
保存
共有
印刷
その他

チケット販売大手のぴあが運営を受託するチケット販売サイトからクレジットカード番号など15万件の個人情報が流出した可能性のあることが25日、判明した。企業で広く使われるサイト構築用ソフトの欠陥(脆弱性)を狙ったサイバー攻撃を受けていたという。カードが不正に使われる被害も確認され、同社は警視庁に相談している。

3月以降、企業などを狙った同様の攻撃が相次いでおり、情報処理推進機構(IPA)などは対策を急ぐよう呼びかけている。

ぴあは3月、インターネット上の書き込みから個人情報が流出した恐れがあることを把握した。調査の結果、同社がサイトの開設と運用を委託したソフト開発会社のサーバーが不正接続されたことが原因と分かった。

不正接続は「アパッチ・ストラッツ2」というサイト構築用ソフトのセキュリティー上の欠陥を突いた。同ソフトは企業などの間で広く使われているが、3月になってIPAなどがセキュリティー上の欠陥と対策を公表し、修正用のプログラムの配布も始まっていた。

その直後から修正前のソフトを狙ったサイバー攻撃が増加。3月10日、東京都税をカード決済できるサイトから約67万件が流出し、同14日には日本郵便からも顧客のメールアドレスなど約3万件の個人情報が流出した可能性が判明した。

ぴあは通常、カード情報はサーバーに残さないような仕組みをとっているが、委託先の開発会社がサーバー内に保持していた。開発会社がソフトの欠陥を修正する前に攻撃を受けたとみられる。

ぴあによると、流出した疑いがあるのは2016年5月16日~17年3月15日にプロバスケットボール・Bリーグの会員に登録した顧客の氏名や住所、電話番号など約15万件。うち約3万2千件はファンクラブ会費の支払いやチケット購入でカードを利用した人の決済情報で、カード番号、有効期限、セキュリティーコードなどだった。

今月21日時点でカードの不正使用は197件、計約630万円分が確認されている。テーマパークの入場チケットの購入などに使われた可能性があるという。ぴあは「お客様にご迷惑をおかけしたことを心よりおわび申し上げます」とコメントしている。

保存
共有
印刷
その他

関連企業・業界 日経会社情報DIGITAL

電子版トップ



[PR]