ぴあは2017年4月25日、同社が運営を受託しているプロバスケットボールリーグ「B.LEAGUE」関連のWebサイトから最大約15万5000件の個人情報が流出した可能性があると発表した。原因は同サイトに使っている「Apache Struts2」の脆弱性。約3万2000件のクレジットカード情報も含まれるという。
不正アクセスを受けたのはB.LEAGUEチケットサイトとファンクラブ受付サイトのサーバー。B.LEAGUEチケットサイトはホットファクトリー、ファンクラブ受付サイトはききょう屋ソフトが、ぴあの発注を受けて構築したという。情報流出の原因になったのはJavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性。これらのサイトがStruts2を使用していた。
同年3月10日、Struts2の脆弱性を情報処理推進機構(IPA)が公表した。ただぴあは当初、B.LEAGUEチケットサイトとファンクラブ受付サイトに関連するサーバーにはクレジットカード情報は保存されていないと認識していたという。ところが同月17日ごろから、サービスを利用している会員がTwitterで「クレジットカードを不正利用された」と複数書き込むようになった。
これを受けてぴあは事実関係の確認を開始。クレジットカード会社からの報告により、会員のクレジットカード番号で十数件の不正使用があった疑いが判明した。そこで同月25日、二つのサイトにおけるすべてのクレジットカード決済機能を停止。調査会社のPayment Card Forensics(PCF)に詳細な調査を依頼した。その結果、二つのサイトに対して同月7日から15日の間、Webサーバーとデータベースサーバーへの不正アクセスの痕跡が確認されたという。ぴあの発表を受け、ホットファクトリーはWebで同社の見解を公表した。
ぴあは同社の基幹システムである「チケットぴあ」のサービスにはStruts2を使用しておらず、その他のぴあのサービスでも同様の問題は発生していないことを確認したとしている。
[ぴあの発表]
[ホットファクトリーの発表]
