ぴあは同社が運営受託しているプロバスケットボールリーグ「B.LEAGUE」関連のWebサイトが不正アクセスを受けた問題で、原因となった「Apache Struts2」の脆弱性の識別子が、3月9日に公開された「S2-045」であると本誌取材に回答した。
不正アクセスを受けたのは、B.LEAGUEチケットサイトとファンクラブ受付サイトのサーバーだ。B.LEAGUEチケットサイトはホットファクトリー、ファンクラブ受付サイトはききょう屋ソフトが、ぴあの発注を受けて構築した。両サイトではStruts2を使用しており、任意のコードを実行できるS2-045という脆弱性を悪用された。
ぴあは3月25日に両サイトにおける全てのクレジットカード決済機能を停止し、調査会社のPayment Card Forensics(PCF)に詳細な調査を依頼した。4月10日のPCFからの中間報告で、不正アクセスを受けていたことが判明。サービスを利用している会員に対しては「4月11日にログインパスワードを初期化し、顧客にパスワードを再登録してもらうよう連絡した」(ぴあ、以下同じ)という。
4月15日にはPCFから最終報告があり、「会員のクレジットカード番号など、どんな情報が流出した可能性があるかの詳細が分かった」。4月25日には不正アクセスによって個人情報が流出した可能性があることを公表。公表が遅れた理由については「顧客からの問い合わせに正確に対応できるように、どの顧客がどんな被害を受けた可能性があるかを把握して、クレジットカード会社と共有する必要があった。4月25日は準備が整った最速のタイミングだった」とする。
二つのサイトで不正アクセスの痕跡が確認されたのは3月7日から15日の間。「3月15日にホットファクトリーとききょう屋ソフトが、対策として独自にStruts2のバージョンアップを実行していた」。PCFの4月15日の最終報告では、ぴあがホットファクトリーとききょう屋ソフトに発注したサイトの仕様や運用ガイドラインと異なり、B.LEAGUEファンクラブ受付サイトのデータベース上やチケットサイトの通信ログ上に、クレジットカード情報を含む個人情報が不適切に保持されていたことが分かった。
発注仕様や運用ガイドラインを順守しなかったことについて、ききょう屋ソフトは本誌取材に対し「守秘義務があり話せない」と回答した。ぴあは「現状は顧客対応を優先しているが、順守されなかった理由については今後調査したい」と話す。ぴあは「発注仕様や運用ガイドラインが守られているものと信じていた。確認の徹底が不十分だったのは我々の落ち度」と語る。