ぴあ株式会社が運営するB.LEAGUE(公益社団法人ジャパン・プロフェッシ ョナル・バスケットボールリーグ)の、B.LEAGUE チケットサイト及びファンクラブ受付サイトのサーバー環境への第三者による不正アクセスが確認され、同社の会員個人情報が漏洩した可能性のあることを、平成29年4月25日にぴあ株式会社が公表しました。
引用元:http://corporate.pia.jp/news/files/security_incident20170425.pdf
調査の結果、同社のサイト開設及び運用において委託先である株式会社ききょう屋ソフトの扱う「Apache Struts2」の脆弱性をついた不正アクセスの事実が確認されています。
また、ぴあ株式会社のWebサーバにて会員のクレジットカード情報は保存されないといった同社の誤認、及び委託先株式会社ききょう屋ソフトとのシステム構築についての確認が不十分であったことが挙げられています。
平成28年5月16日から平成29年3月15日の間にB.LEAGUEへ登録した会員の住所、氏名、電話番号、生年月日、ログインID及びパスワード、メールアドレス含む個人情報(重複登録を除き)の漏洩の可能性が計147,093件、うち、会員名、会員番号、有効期限、セキュリティコードを含むクレジットカード決済情報の漏洩の可能性が32,187件、それらのクレジットカード情報を用いた不正使用の件数が197件、金額が6,300万円です。
クレジットカード不正使用を確認した会員による報告を受け、同社は3月25日よりサイト上のすべてのクレジットカード決済機能を停止し被害拡大防止、会員へログインパスワード変更の喚起を促すと同時に、同社における再発防止策としての「Apache Struts2」のアップデート及びサーバ再構築、情報セキュリティのガイドラインの見直し、点検、監視の強化に努めるとのことです。
導入事例:人材派遣会社(40名)のシステムリプレイス(含UTM)