公益社団法人ジャパン・プロフェッショナル・バスケットボールリーグ(本社:東京都文京区、理事長:大河正明 以下「B.LEAGUE」)は4月25日、チケットサイトなどへの不正アクセスにより、最大約15万5千件(うち、クレジットカード情報約3万2千件を含む)の顧客の個人情報が流出した可能性のあることが判した、と発表した。
B.LEAGUE では3月25日(土)、公式WEBサイトで一部の顧客からクレジットカード情報に関する問い合わせを受け、同社からの運営・委託先である、ぴあ株式会社(以下、ぴあ)経由で、第三者機関による詳細な調査を行なっていることを伝えていた。
このたび調査が終了し、最終調査報告書を4月16日(日)に受領した。4月16日(日)の時点で、現状を公表することも検討いたが、クレジットカード会社、関係省庁等に相談の上、発表後の顧客への対応を優先、今回のタイミングでの公表となった、という。
現在は、一時的に「B.LEAGUEチケット」等でのクレジット決済サービスは停止されている。
またB.LEAGUE では、この件に関する問い合わせ専用窓口を開設した。
専用フリーダイヤル0120-800-152
受付:4月25日(火)~4月30日(日)・10:00~21:00、5月1日(月)~終了時期未定・10:00~20:00
専用メールアドレスblg-info@pia.co.jp
B.LEAGUE 大河正明チェアマンコメント
このたびは、大切なお客様の個人情報の取り扱いにおいてこのような事態となり、多大なるご迷惑、およびご心配をお掛けし、誠に申し訳ございません。深くお詫び申し上げます。今回の事態を重大かつ厳粛に受け止め、お客様への適切な対応と、安心してご利用いただけるよう再発防止策を実行し、全力で信頼回復に取り組んでまいります。
事象発生からの経緯
3/19(日)
朝: 顧客よりリーグ宛にメールで問い合わせと、SNS上でBリーグチケットを利用したと思われる顧客のクレジットカードの不正利用に関する書き込みが複数あり、運営・委託先であるぴあへ調査を依頼。
3/20(月)
13:45: ぴあより「調査継続中も現時点で不正アクセス等の形跡なし」との経過報告。
14:00: リーグ公式SNSにて13:45現在の不正アクセスはなしとの調査結果を発表。
3/21(火)
: ぴあより、独自の調査結果により、クレジットカード情報の流出に関する不正なアクセスは確認されなかったとの報告書を受領。
3/24(金)
16:30: ぴあから「クレジットカード会社から十数件の不正引き落としに関する連絡が入り、B.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスにおけるカード決済機能停止と専門の第三者機関を入れた詳細な調査をしたいとの要望の電話連絡を受ける。
19:45: ぴあ来社し、リーグ事務局に対し詳細報告。改めてB.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスにおけるカード決済機能停止要請を受ける
3/25(土)
1:25: B.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスでのカード決済機能停止。
4:30: ぴあ・リーグ両社の公式ホームページにお知らせを掲載。あわせて同日行なわれる全試合にぴあスタッフを試合会場に派遣し、問い合わせ対応を実施。
3/26(日)
: 前日に引き続き、全試合にぴあスタッフを試合会場に派遣し、問い合わせ対応を実施。
3/27(月)
16:00: 電話によるお客様問い合わせ窓口を開設。
4/7(金)
: ぴあスタッフを試合会場に派遣し、問い合わせ対応を実施。
※4/8(土)~4/9(日)も同様にぴあスタッフを派遣。
4/10(月)
: ぴあより、第三者機関調査の中間報告。「Apache Struts2」の脆弱性をついたサイバー攻撃による不正アクセスの痕跡があったことが報告される。
4/11(火)
2:30: 4/10(月)の報告を受け、万が一の事態を想定し、ファンクラブサイトおよびB.LEAGUEチケットサイトにご登録済みのパスワードを全て初期化(9:00完了)。
10:00: 両社ホームページにお知らせを掲載し、あわせて電子メールにてお客様にパスワードの再登録のお願いを連絡。
4/16(日)
: ぴあより、第三者機関の最終報告を受領。当初のシステム発注仕様と異なり、クレジットカード情報やログなどの情報が不適切に委託先のWebサーバー上に保持されていたことが判明。
ファンクラブサイトおよび、B.LEAGUEチケットサイトの開設にあたりシステム開発に使用したウェブアプリケーションを開発するためのソフトウェアフレームワークである「Apache Struts2」の脆弱性を突いたサイバー攻撃を受け、サーバー上に不正なプログラムを設置されたことにより情報流出の可能性があったとの報告。あわせて流出件数(可能性含む)も共有。
4/25(火)
: クレジットカード会社、関係省庁等に相談の上、発表後の顧客への対応を優先し、今般のタイミングで発表。