下線部について、4/26 10:00に追記しました。
22日に公開しました内容に関連し、Bリーグとチケットぴあは情報を公開しました。
けん責は「チケットぴあ」になると考えるのが妥当な状況です。
「ぴあ社がプラットフォームを提供するB.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告」*(PDFへのリンク)
上記の内容を整理して、ITMediaに記載されている「猛威振るうStruts2脆弱性への攻撃、どうすれば防げたか(2017/3/22)」**(日経コンピュータ)を読めば、大まかな経緯はわかろうかと思います。
+はBリーグ公式
2017/3/07 金融ISACがApache Struts2(AS2)に関する脆弱性に関する情報共有**
NTTデータと富士通はこの日の夕方から対応・注意喚起を始める**
※この日から情報漏洩した模様*
2017/3/08 IPAが注意喚起を開始(当該サイト:最終更新は3/31)。一部ITメディアにも掲載。
2017/3/09 インプレス等の報道あり
2017/3/10 この日、「IPAの発表により、ぴあは脆弱性を認識。カード情報を保管されていないとも認識」*
2017/3/15 この日分までの情報が漏洩した可能性あり*
2017/3/17 ツイッターでの不正使用報告相次ぐ*
2017/3/19 ツイッター等での不正使用報告についてリーグからぴあに報告+
2017/3/20 ぴあより不正アクセスなしとの報告およぴ書面ををリーグが受領+
2017/3/25 クレジット会社の報告より+ 十数件の不正使用の疑いがあり、クレジット決済機能を停止* (当方の認識はSNSではこの時点で30件以上)
2017/4/10 リーグにぴあからAS2の脆弱性に対する攻撃、不正アクセスの報告あり+
2017/4/11 調査継続を公表
2017/4/16 最終報告をぴあよりリーグが受領+
2017/4/25 本日の公表
漏洩した情報は、
Bリーグ会員に登録した個人情報(~2017/3/15)に類するものは 147,093件。
上記の内カード情報を含むものは32,187件(重複除く)
・うちファンクラブ会費でクレジット決済をした13,696件
・うちチケット購入の決済情報(2017/1/7~2017/3/13)を含むものは23,025件
「不正使用の件数と金額197件、630万円」の発表については22日のエントリーでの窓口の対応通り、リーグ側に詳しく収集する意図が感じられなかったために、まったく信用が置ける数字ではありません。
非常に興味深いことに、チケットぴあの公式サイトでは漏洩していなかったということです。
つまりBリーグチケット・会員サイトのみで発生したということです。
また、下請け先が、bleague-ticket.jp (チケットサイト)と、bleague-fanclub.jp(ファン・ブースターズクラブサイト) で異なるという事象が、日経IT Proの以下記事で明確になっております。
ぴあ運営サイト不正アクセス、Struts2の脆弱性は「S2-045」 (IT Pro 2017/4/25)
そのため、以下のことがわかります。
・チケットサイトでは、データベース(DB)への侵入の痕跡はなかったが、バックドアがあり、データを見ることができる状況であった
・ファンクラブサイトでは、DBへの侵入自体認められていた。
・実際の被害がファンクラブサイトでの決済を経験した会員に集中している(当方が認識している事案)
ただ、委受託契約は本来、委託側の都合で、受託側にアウトソースするものであるため、委託側が本来責任を負う必要があると考えます。そのため、委託側の管理責任を問うのが必然だと当方は考えます。
セキュリティーコード(CVV)についてDBに保管されていたことは、そもそも加盟店規約違反であることも問題です。
上記を見えればご理解いただける通り問題点を以下に集約します。
・金融ISAC、IPAの発表からぴあの認識までの時間の遅れ
・また3/10時点で、自社関連システムの内容を把握していなかったこと
・そのため対応は15日まで遅れたと思われること
・前項について、委託先の責任かのように書いているが、委受託契約である以上、委託先は当該会社にとって「内部=会社の都合」に過ぎず、本来発注者はシステムの管理責任を負うという必要を欠いたリリースになっていること。
・「すでに当社では、クレジットカード各社と連携し、モニタリングを開始している」(ぴあ)と発表していながら、(推定では最終報告は4 /16であるので、その時点でしていると思われるにもかかわらず)当方の事案は18日、19日に発生しており、機能しているとは思えない(Uberで25件の不正利用も、カード会社から積極的には報告されず、当方が検知して問い合わせて初めて分かったこと)
とはいえ、起こったことはどうしようもないし、だからね、と言っても仕方がないので、
個人的にぴあに求めたいのは
・今回のようなIPAの注意喚起に対する初動の遅れは致命的であるので、二度としないこと。
・座席指定の場合など、現行のBリーグ公式サイトでのオンライン予約に関する216円/枚の手数料は、ある意味御社マターの「利用者の被害」であるから、早晩免除などの方法を検討すること。もしくはチーム・リーグなどのキャンペーンでフィードバックすること。
・委受託契約は御社理由である、という認識を持つこと。
利用者目線では以下の通りです。
・当該クレジットカードは番号変更での再発行、もしくは繋ぎを含めて別途カードの加入を検討する。
ぴあはこれに伴って業績修正のため、営業利益+2.5億ながらも当期利益▼2.5億と、5億円下振れする業績予測の修正を発表しています。
まさか自分が書いたことで、公開が早まったなんてなければいいのですが(汗)、今後はきっちりやっていただいて、「勝ち」をシェアできればいいかなと思います。
[…] Bリーグチケットの情報漏洩の件(以前書きました)のお詫びが「ぴあ」から届きました。 概ね、個人情報+クレジットカード情報が漏れた場合、3,000円。個人情報のみの場合は500円のQUO […]