チケット高額転売、マイナンバーカードで阻止 総務省とぴあが検討【訂正 … – ITmedia

【おわびと訂正】

初出時、ぴあ広報部から「ユーザーがぴあのWebサイトでマイナンバーを入力してチケットを購入」と説明を受け、記載していましたが、総務省に確認したところ、正しくはマイナンバー(個人番号)ではなく、公的個人認証サービスを利用したものでした。おわびして訂正いたします。[12日午後4時]

また、タイトルと本文内の「マイナンバー」を「マイナンバーカード」に改めました。[12日午後4時30分]

国交省サイトに不正アクセス 「Apache Struts2」脆弱性 – ITmedia



 国土交通省は6月6日、不動産取引価格のアンケート調査サイトが不正アクセスを受け、4月7日〜6月2日にサイト上で作成されたアンケート回答の情報(氏名・法人名、契約日、取引価格など)最大4335件が流出した可能性があると発表した。また、売買などを原因とする所有権移転登記情報(登記原因日、地番、地目、面積)最大19万4834件についても流出した可能性があるという。


不正アクセスを受けた国交省のアンケート調査サイト

 アンケート調査サイトは、不動産の取引価格などを検索できるサイト「土地総合情報システム」上に開設していた。不正アクセスはアプリケーションフレームワーク「Apache Struts2」の脆弱性を悪用し、サイトに悪意のあるプログラムを仕込むことでアンケート情報を流出させた可能性があるという。

 6月2日に同システムを緊急停止。現在個人情報流出の有無について調査を行い、システム監視の強化や再発防止対策を検討しているという。

 Apache Struts2の脆弱性で、東京都の都税支払いサイトのクレジットカード番号や、日本郵便の国際郵便サイトの送り状データ、ぴあが運営する「B.LEAGUE」関連サイトに登録した個人情報などが流出する事件が起きている。


国交省の発表

Copyright© 2017 ITmedia, Inc. All Rights Reserved.



ぴあ 新たに6500件のクレジットカード情報流出か – NHK

チケット販売大手の「ぴあ」が運営を委託されているプロバスケットボールのサイトが不正なアクセスを受け個人情報が流出した問題で、「ぴあ」は18日、新たにおよそ6500件のクレジットカード情報が流出した可能性があるほか、不正使用の件数もさらに182件増えたと発表しました。

この問題はことし3月、「ぴあ」が運営を委託されているプロバスケットボールの「Bリーグ」のチケット販売やファンクラブへの登録受け付けなどを行っているインターネットのサイトが不正アクセスを受けたもので、「ぴあ」は最大でおよそ15万5000件の氏名や住所などの個人情報が流出した可能性があると発表していました。

「ぴあ」は当初、15万件の個人情報のうち、クレジットカード情報の流出は3万2187件にのぼる可能性があるとしていましたが、18日、新たに6508件が流出した可能性があると発表しました。

また、不正使用の件数も、今月8日時点の集計で、さらに182件増えて、合わせて379件に、金額も合わせておよそ880万円にのぼり、今後も増える可能性があるということです。

ぴあは「お客様や関係者の皆さまにご迷惑をおかけして大変申し訳なく思います。再発防止と業務の見直しを進めます」と話していて、不正使用分やカードの再発行の費用などは負担するとしています。

ぴあ、カード情報6500件流出か 調査で新たに判明 – 朝日新聞

 バスケットボール「Bリーグ」のチケットサイトなどから最大約15万5千件の個人情報が流出した可能性がある問題で、サイト運営を受託するチケット販売の「ぴあ」は18日、さらにカード情報約6500件が流出した可能性があると発表した。流出可能性があるカード情報は、これまでの発表分と合わせて約3万8700件になった。

 4月下旬に公表して以降、調査内容を精査し、今回の追加分がわかったという。同社などによると、チケットサイトとファンクラブ会員受け付けサイトに不正アクセスがあり、昨年5月16日~今年3月15日の期間中にサイトに会員登録した顧客の個人情報が流出した可能性がある。カード情報流出による不正使用も当初発表の197件、計約630万円が379件、計約880万円に増えた。

無線LANのただ乗りに「無罪判決」の驚き – @IT





 4月のセキュリティクラスタは、3月に公開された「Apache Struts 2」の脆弱(ぜいじゃく)性の残り火に注目が集まりました。4月になって攻撃を受けたサイトや3月に受けた攻撃について公開するサイト、攻撃から復旧して再公開するサイトなどがあり、タイムライン(TL)を賑わせることとなりました。

 ユーザー名とパスワードをスクリーンショットとして保存していた人物が話題となっていた他、乗っ取られて不適切な画像をアップロードされた芸能人、芸能人のアカウントのパスワードを推測し、のぞき見で逮捕された件も話題となっていました。

 誰もが犯罪だと思っていた無線LANのただ乗りに対して「無罪」の判決があり、驚いているツイートが多数TLに流れていました。

Struts 2の脆弱性を放置し4月になって攻撃に気付いた「総務省」、セキュリティコードを盗まれて不正利用されていた「ぴあ」

 3月に猛威を奮ったStruts 2の脆弱性(S2-045とS2-046)。4月になると世間ではようやく対応が一段落、落ち着きを取り戻したようです。ところが、対策されておらず攻撃されてしまったサイトや、攻撃されてしまっていたことが4月になって判明したサイト、修正が完了して報告が上がっているサイトなど、まだまだ話題が尽きませんでした。

 4月13日には総務省の運営している地図情報サイト「地図による小地域分析」(jSTAT MAP)から最大2万3000件の個人情報の流出可能性があるということが発表されました。Struts 2の脆弱性を突かれた不正アクセスを受けたものです。

 クレジットカード番号などお金に関わるデータはなかったものの、脆弱性を突かれたことに気付いた日付に問題がありました。4月11日に判明したということは、脆弱性が判明してから1カ月間、修正を施していなかったことになるからです。

 たまたま攻撃者に見つけられなかったのか、すぐに侵入されていたものの気付くのに1カ月かかったのか、発表からは分かりません。いずれにせよ、脆弱性があるシステムを運用していたのにもかかわらず、ほったらかしのずさんな運用にあきれたツイートが目立ちました。

 4月25日には「ぴあ」が運営している「B.LEAGUEチケットサイト」と「ファンクラブ受付サイト」でStruts 2の脆弱性を突かれ、個人情報が流出したという発表がありました。こちらはクレジットカード番号とカードのセキュリティコードが流出し、実際に不正利用されていたということです。

 発表は4月末。しかし実際に攻撃を受けたのはもっと早かったのです。3月17日からツイートが始まり、不正利用されているという多数の書き込みがあったこと、3月25日にはサイトを停止して調査を行っていたということです。先月のGMOペイメントゲートウェイと同様、PCI DSS(Payment Card Industry Data Security Standard)に違反して、セキュリティコードをサーバに保管していたことが問題視されていました。

 最初に攻撃の被害が明らかになったGMOペイメントゲートウェイは、4月17日に個人情報保護法に基づく報告を経済産業省に行いました。しかし、なぜクレジットカードのセキュリティコードが保管されていたのかは明らかにされなかったようです。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ぴあ、B.LEAGUE関連サイトの15万件超の個人情報を流出したおそれ … – マイナビニュース

ぴあは4月25日、同社が運営を受託しているB.LEAGUEのチケットサイト、ファンクラブ受付サイトのサーバにおいて、何者かのサイバー攻撃による不正アクセスが確認され、会員の個人情報が流出した可能性があることが判明したと発表した。

個人情報、クレジットカード情報が流出した可能性のある会員には、B.LEAGUE、各クレジットカード会社と協議の上、同日より、電子メールおよび書状などにより、お詫びとお知らせの連絡を個別に開始するという。また、経済産業省への報告、ならびに警視庁、所轄警察署への相談は済ませたとしている。

発表によると、3月10日の情報処理推進機構(IPA)の発表を受け、アプリケーションフレームワーク「Apache Struts2」に脆弱性が存在することを認識したという。

当初、B.LEAGUE チケットサイト、ファンクラブ受付サイトに関連するWebサーバ上にクレジットカード情報は保存されていない認識でいたが、3月17日ごろより、会員顧客のツイッター上で、クレジットカードの不正使用に関する複数の書き込みがあり、事実関係に関する確認を開始した。

その後、クレジットカード会社からの報告により、対象のサイトを利用した会員のクレジットカード番号で、十数件の不正使用があった疑いが判明したため、3月25日に同サイトにおけるすべてのクレジットカード決済機能を停止し、さらに詳細な調査を外部の専門調査会社(PCF)に依頼したという。

その結果、同社がサイトの開設と運用を発注しているききょう屋ソフトが構築したファンクラブ受付サイト、ホットファクトリーが構築し B.LEAGUEチケットサイトにおいて、3月7日~15日の間、「Apache Struts2」への攻撃による、Web サーバとデータベースサーバへの不正アクセスの痕跡が確認されたとしている。

同社が抱える最大約15万5000件の個人情報(うち、クレジットカード情報約3万2000件を含む)が、悪意ある第三者に流出した可能性のあることが判明した。これは、同社からの発注仕様、運用ガイドラインと異なり、委託先のデータベース上(ファンクラブサイト)と通信ログ上(チケットサイト)に不適切に保持されていたという。

不正アクセスを受けたサーバは、B.LEAGUEチケットサイト、ファンクラブ受付サイト専用に外部に構築されたものだけで、「チケットぴあ」をはじめとするその他の当社サービスについて、同様の問題が発生していないことは確認されているとのこと。

<お知らせ>

ITソリューション検討Information

マイナビニュースのIT Search+では、ITソリューションの検討に役立つ情報を掲載しています。
ここでは、IT Search+の人気記事ベスト3をご紹介。ぜひ、ビジネスにお役立てください。

ぴあ株急落、5%安 個人情報流出で特損計上 :日本経済新聞 – 日本経済新聞

 25日の東京株式市場ではぴあ株が急落した。終値は取引時間中の安値となる前日比154円(約5%)安の2830円で、約2カ月半ぶりの安い水準まで売られた。25日昼、受託運営したサイトへのサイバー攻撃により、利用客の個人情報が流出したと発表した。今後のサイト利用減少や収益への影響を懸念した売りが広がった。

 流出した個人情報には約3万2000件のクレジットカード情報が含まれ、不正使用の被害も出ている。被害に遭った顧客がカードを再発行する場合、ぴあが手数料を負担する。

 同社は25日、個人情報流出に伴い、2017年3月期の連結純利益予想を前の期比21%減の9億5000万円に下方修正した。従来予想を2億5000万円下回る。今回の顧客対応で2億円の特別損失を計上したことが響く。

 音楽イベントのチケット販売が好調だったため、売上高は8%増の1500億円(従来予想は1%増の1400億円)、経常利益は12%増の16億円(同5%減の14億円)と上方修正した。ただ市場では「個人情報の流出で顧客離れが進み、今後の業績に悪影響を及ぼしそう」(国内証券)といった見方で、警戒感が広がっている。