2014年8月上旬以降、大手チケット販売サイト「チケットぴあ」利用者の一部から、「身に覚えのない高額請求が来た」との報告がインターネット上に複数寄せられている。
公式サイトには今回の不正アクセスについて発表はなく、話が広まるにつれ、利用者から不安の声があがっている。
3か月前には「ぴあ」不正ログイン容疑者が逮捕
情報流出の可能性はないという(画像は「チケットぴあ」トップページのスクリーンショット)
「なんじゃこりゃ!!!!チケットぴあのIDが不正アクセスを受けて、24万円ものチケットを購入したメールが届きました。早く対応したいのに、ぴあの電話が10時からしかつながらない...」
「チケットぴあから見に覚えのない購入案内が... しかもクレジットカードでの購入で総額9万?ぴあのセキュリティどうなってんの?てかクレジットカードの情報盗まれたのか?」
「妹がぴあでパスワードを不正利用された!しかも問合せ出来ないように問合せ終了時間ギリギリに購入して明日の午後から発券できるチケットを購入とか用意周到すぎて恐ろしい...」
8月上旬以降、ツイッター上には「チケットぴあ」を通じた被害を訴える書き込みがいくつも寄せられている。請求額はいずれも高額で10万円を超える報告例も一つや二つではない。
「チケットぴあ」を使った不正購入問題は2014年5月にも発覚した。不正アクセスによってチケットを購入したとして電子計算機使用詐欺容疑で逮捕され、容疑を認めた中国籍の男女6人は、約100人分のIDを不正に使用していた。報道によれば、容疑者らは13年9月から14年3月にかけて約850万円分(約400枚)のチケットを詐取していたといい、チケットは約300万円で転売されたとみられている。
報道後、チケットぴあは「今回の事案に関する個人情報は、当社サイトより流出したものではありません」と報告していた。
サイトには現在のところ、最近の不正アクセスについて書かれたものは見当たらず、「不正利用を未然に防ぐためのお願い」という2012年のお知らせ文があるのみだ。
「爆発的に増えているわけではない」
過去の事例もあるだけに、被害当事者や被害報告をまとめたブログなどを目にした利用者からは、
「ぴあでパスワード不正利用だかカード番号漏れだかが発生しているらしい」 「思わずクレカ使用状況見に行った」
「当面使う可能性がないしぴあのアカウントは抹消するか...」
「普段ぴあからのメールなんて全部無視してるから不正ログインで買われても気付かないわ...」
といった不安の声が広がっている。
実際、どれほど被害が出ているのか。ぴあの広報担当者はJ-CASTニュースの取材に対し、「6月から現在にかけて(不正ログインによる)被害が多くなっていることは確かです」と話した。ただし、これまでと比較して爆発的に増えているというわけではないという。
ぴあからの流出の可能性については否定し、
「被害が増えているのは、IDとパスワードの使い回しによる被害が拡大している中の一環という認識です。ぴあだけが際立っているというわけではないと思っています」(広報担当者)
と話した。利用者に対するサイト上やメールでの注意喚起をはじめ、カード会社と連携した監視体制の強化、問題のあるアカウントのブロックなどを行っているといい、新たなセキュリティシステムの対応も考えているという。
2013年以降は、他社で流出したIDやパスワードを用いて不正アクセスされる「リスト型攻撃」が多発している。多くの人が複数のサイトでIDやパスワードを使い回していることから、犯人側は1か所から入手した情報で入れるアカウントをどんどん調べていくのだ。1か所のサイトが集中的に狙われるケースも少なくない。
2013年9月には、大手チケット販売サイト「イープラス」でも不正ログインによる被害が発生。今年6月にはSNS「mixi」でも約26万アカウントに不正ログインがあった。たびたび話題にのぼる無料通信サービス「LINE」上の「乗っ取り」も同じ手口とみられている。
こうした被害の拡大から、「チケットぴあ」でも独自パスワードの設定や定期的な変更を呼びかけている。なお、利用者がサイト上で登録しているクレジットカード番号は個人ページでも下4桁しか表示されないため、不正ログインを受けても番号が流出することはないと思われる。だが、不正ログインによるチケット購入被害に不安があるようならば情報は削除しておいたほうがいいかもしれない。