3月に判明したサーバーソフトウェア「Apache Struts 2」の脆弱性攻撃で、新たな被害が判明した。最大15万5千件の個人情報が流出したおそれがあり、これまでに197件、630万円のクレジットカード不正使用が確認されたという。
ぴあ(本社:東京都渋谷区)と、プロバスケットボールリーグ「B.LEAGUE」は25日、ぴあが運営を受託しているB.LEAGUEのチケットサイトとファンクラブ受付サイトの不正アクセスが確認され、顧客情報が流出した可能性のあると発表した。
■カード情報3万数千件流出、197件・630万円の不正使用確認
流出した可能性のある情報は、2016年5月16日から今年3月15日の期間中に、B.LEAGUEに登録した会員の住所、氏名、電話番号、生年月日、ログインID、パスワード、メールアドレスの登録情報15万4599件(複数クラブへの重複登録を除いた件数は14万7093件) 。うち、会費の支払いにクレジットカード決済を利用者した会員と、今年1月7日から3月13日の期間中にクレジットカードでチケットを購入した会員、合わせて3万2187件には、カード会員名、カード会員番号、有効期限、セキュリティコードが含まれており、4月21日までに197件、630万円の不正使用が確認されたという。
不正使用分については全額補償され、ユーザーに負担がかかることはない。カード会社側で監視を行っているが、念のため利用代金明細書で取引内容を確認し、身に覚えのないものがあったら、カード会社に問い合わせていただきたい。
■「Apache Struts 2」の脆弱性突く攻撃
今回の情報流出は、Webアプリケーションを開発するためのソフトウェアのひとつ「Apache Struts 2」の脆弱性を突かれたもの。同ソフトは、開発元が3月6日に任意のコードが実行可能な危険度の高い問題があることを公表。間をおかずに、同脆弱性を悪用する攻撃が始まってしまった。8日には問題を修正した更新版が正式公開されたが、対応の遅れたサイトが攻撃を受け、都税クレジットカードお支払いサイトや日本郵便の国際郵便マイページサービスなどが次々に被害にあった。
発表資料によると、3月17日ごろからtwitter上でカードの不正使用に関する複数の書き込みがあり、ぴあが調査したが不正アクセスは確認されなかった。3月24日にカード会社から十数件の不正使用の連絡があり、カード決済を停止して外部の調査会社に調査を依頼した。
4月10日、Apache Struts 2の脆弱性を突いた攻撃による不正アクセスの痕跡があったことが報告され、翌11日に万が一の事態を想定し登録済みのパスワードを全て初期化した。16日に受けた最終報告で、当初のシステム発注仕様と異なり、クレジットカード情報がサーバー上に保持されていたことが判明。3月7日から15日の間、WebサーバーとデータベースサーバーがApache Struts 2の脆弱性を突いた攻撃を受け、サーバー上に不正なプログラムを設置されたことにより、情報流出の可能性があることがわかったという。
■対策:パスワードの使い回し止め、「2段階認証」利用を
サービスの脆弱性を突いた情報流出は、私たちユーザーにはどうにもできない問題だが、異なるサービスで同じアカウント情報を使用していると、被害が他のサービスに及ぶこともある。流出したアカウント情報を使って他のサービスにアクセスされる可能性があるので、パスワードを使い回さず、サービスごとに異なるパスワードを設定する。通常のパスワード認証に加え、SMSやアプリを使用して、その都度異なる認証用のコードで認証を行う2段階認証が利用できる場合には、積極的に利用することをお勧めする。特にカード情報を扱っているサービスで、流出情報にカード情報が含まれている場合には、公表が大幅に遅れるので注意したい。
(2017/04/26 ネットセキュリティニュース)
【関連URL】
・ぴあ社がプラットフォームを提供するB.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告[PDF](ぴあ)
http://corporate.pia.jp/news/files/security_incident20170425.pdf
・B.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告(B.LEAGUE)
https://www.bleague.jp/news/23536.html