チケット販売サイトを運営する「ぴあ」は2017年4月25日、運営を受託するプロバスケットボール「Bリーグ」ファンクラブ受付サイトと同チケットサイト上で不正アクセスが確認され、クレジットカード情報約3万2000件を含む個人情報約15万5000件が第三者に流出した可能性があると発表した。流出したクレジットカード情報により、すでに197件、合計約630万円分が不正使用されたことも判明している。
一方、「チケットぴあ」をはじめとする上記サイト以外のぴあ社のサービスについては、不正アクセスの問題は「発生していない」と説明。J-CASTニュースの取材に対しても、同社広報担当者は「『チケットぴあ』に影響はありません」と説明している。
個人情報が「不適切に保持されていた」
発表では「お客様ならびに関係各位に多大なるご心配とご迷惑をお掛け致しますことを、心より深くお詫び申し上げます」と謝罪し、トラブルの概要を説明。今回のBリーグファンクラブ受付サイトは「ききょう屋ソフト」(大阪市)に、同チケットサイトは「ホットファクトリー」(大阪市)に、それぞれぴあ社が外部発注して開設・運用をしており、これらのサイトのサーバーに3月7日~15日の間、不正アクセスの痕跡が確認された。
データベース上(ききょう屋ソフトのファンクラブ受付サイト)と通信ログ上(ホットファクトリーのチケットサイト)に、ぴあ社からの発注仕様や運用ガイドラインに反して個人情報が「不適切に保持されていた」のに加え、ぴあ社が「そのことを把握できず、確認の徹底が不十分であった」ことが、今回のトラブルの原因だとしている。
ぴあ社は、Bリーグの両サイトでは3月25日からクレジットカード決済機能を停止中。クレジット決済の再開時期は「見通しが決定し次第」としている。
両サイト利用者に対しては、ログインパスワードの変更を求めるとともに、クレジットカードの利用明細に身に覚えのない請求項目があればカード会社に速やかに問い合わせるよう促している。また、クレジットカード再発行を希望する場合の手数料や、流出したカード情報で不正使用された金額は、ぴあ社が補償するとしている。
『チケットぴあ』では「同様の問題が発生していないことを確認」
ぴあ社といえば大手プレーガイド「チケットぴあ」を運営していることで有名。ツイッターでは今回のトラブル発表を受けて「チケットぴあプレミアムでカード入ってるけど大丈夫やろか...」「チケットぴあで情報流出か」といった投稿があふれている。しかし、発表では以下のように説明がある。
「対象となるサーバーは、B.LEAGUE チケットサイト、及びファンクラブ受付サイト専用に外部に構築されたものに限定されており、『チケットぴあ』をはじめとするその他の当社サービスにつきまして、同様の問題が発生していないことは確認されております」
この点、J-CASTニュースが4月25日にぴあ社に取材したところ、広報担当者は「チケットぴあでは今回と同様の個人情報流出は起こり得ません」と強調した。
というのも、今回の流出の直接の原因は、Bリーグの両サイトで使われていた、ウェブシステム構築のためのアプリケーションフレームワーク「Apache Struts(アパッチ・ストラッツ)2」の脆弱性にあると広報担当者は説明した。
「『チケットぴあ』と今回のBリーグサイトはシステムが異なり、『チケットぴあ』では、『アパッチ・ストラッツ2』は使用しておりません。また、『チケットぴあ』でもセキュリティ対策の強化を進めています。利用者の皆さまには混同が生じないように伝わっていただければと思っております」
トラブルを受け、公益社団法人ジャパン・プロフェッショナル・バスケットボールリーグも公式サイトで謝罪文を発表。大河正明チェアマンは「このたびは、大切なお客様の個人情報の取り扱いにおいてこのような事態となり、多大なるご迷惑、およびご心配をお掛けし、誠に申し訳ございません。深くお詫び申し上げます。今回の事態を重大かつ厳粛に受け止め、お客様への適切な対応と、安心してご利用いただけるよう再発防止策を実行し、全力で信頼回復に取り組んでまいります」とコメントしている。