またもStruts2で漏洩、ぴあ運営のB.LEAGUEサイトから流出したカード番号で被害(ニュース)



 ぴあは2017年4月25日、同社が運営を受託しているプロバスケットボールリーグ「B.LEAGUE」関連のWebサイトから最大約15万5000件の個人情報が流出した可能性があると発表した。原因は同サイトに使っている「Apache Struts2」の脆弱性。約3万2000件のクレジットカード情報も含まれるという。

B.LEAGUEのファンクラブ受付サイトに掲示されているパスワード再登録のお願い

(出所:B.LEAGUEのファンクラブ受付サイト)

[画像のクリックで拡大表示]

 不正アクセスを受けたのはB.LEAGUEチケットサイトとファンクラブ受付サイトのサーバー。B.LEAGUEチケットサイトはホットファクトリー、ファンクラブ受付サイトはききょう屋ソフトが、ぴあの発注を受けて構築したという。情報流出の原因になったのはJavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性。これらのサイトがStruts2を使用していた。

 同年3月10日、Struts2の脆弱性を情報処理推進機構(IPA)が公表した。ただぴあは当初、B.LEAGUEチケットサイトとファンクラブ受付サイトに関連するサーバーにはクレジットカード情報は保存されていないと認識していたという。ところが同月17日ごろから、サービスを利用している会員がTwitterで「クレジットカードを不正利用された」と複数書き込むようになった。

 これを受けてぴあは事実関係の確認を開始。クレジットカード会社からの報告により、会員のクレジットカード番号で十数件の不正使用があった疑いが判明した。そこで同月25日、二つのサイトにおけるすべてのクレジットカード決済機能を停止。調査会社のPayment Card Forensics(PCF)に詳細な調査を依頼した。その結果、二つのサイトに対して同月7日から15日の間、Webサーバーとデータベースサーバーへの不正アクセスの痕跡が確認されたという。ぴあの発表を受け、ホットファクトリーはWebで同社の見解を公表した。

 ぴあは同社の基幹システムである「チケットぴあ」のサービスにはStruts2を使用しておらず、その他のぴあのサービスでも同様の問題は発生していないことを確認したとしている。

ぴあの発表
ホットファクトリーの発表



Related Post