「情報漏えい、当社に関係なし」の嘘（第7回）ぴあですら個人情報流出の可能性。守りは急務

公開日：2017.05.12

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　またしても大手企業から個人情報流出か？というニュースが流れてきた。2017年4月25日にチケット販売大手のぴあが、運営を受託しているサイトから15万件余りの個人情報流出の可能性があると発表したのだ。クレジットカード情報を含む個人情報の流出で、現実にクレジットカードの不正利用も確認される事態にまで発展した。

　経緯は以下のようなものだった。個人情報が流出した可能性があるのは、ぴあが運営を受託しているB.LEAGUE（公益社団法人ジャパン・プロフェッショナル・バスケットボールリーグ）のB.LEAGUEチケットサイトとファンクラブ受付サイトのサーバー。何者かがサーバーにサイバー攻撃を仕掛けた。これにより最大で、約15万5000件の個人情報が悪意ある第三者に流出した。そのうち約3万2000件はクレジットカード情報を含むという。

流出した情報からクレジットカード不正利用も

　今回のぴあの事件では実害が生じた。情報セキュリティー対策の必要性が改めて実感させられる。ぴあによる4月21日の集計時点で、197件、計約630万円のクレジットカードの不正利用が確認された。ぴあは不正使用分の金額を負担して、クレジットカード会社を通じ補償する。さらに被害の拡大についてもクレジットカード各社と連携して、情報が流出した可能性のあるクレジットカードによる取引のモニタリングを強化。さらなる不正利用の防止に努めるという。

　今回の情報流出の直接的な原因は、JavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を突かれたことにある。Apache Struts2は、Apache Software Foundationが開発するオープンソースのソフトだ。Webアプリケーションを開発する際に、国内外で一般的に使われる。2017年3月9日、情報処理推進機構（IPA）はApache Struts2の脆弱性の最新情報を公開し、任意のコードが実行される可能性を指摘した。対策として、IPAでは最新バージョンへのアップデートを実施するように促している。

　一般的に使われるApache Struts2だけに、情報流出のリスクはどのような企業や団体でもあったはずだ。ただ、多くは対策を施しリスクを回避できた。ぴあもIPAの発表を受けて、脆弱性の存在を認識していた。ところが、今回のB.LEAGUEチケットサイトとファンクラブ受付サイトのサーバーでは、想定外のことが起こっていた。ぴあでは、これらのサーバー上に、クレジットカード情報などの個人情報が「ない」と判断していたのだ。だが、実際にはクレジットカード情報がサーバー上に保存されていた。「ない」はずの個人情報が、サーバーの脆弱性を突いた攻撃で、外部に流出してしまったのだ。

システムリスクには「人間」の関与も考慮 …

　ぴあの発表によれば、B.LEAGUEチケットサイトとファンクラブ受付サイトの開設・運用は外部発注先に委託していた。B.LEAGUEチケットサイトはホットファクトリーが、ファンクラブ受付サイトはききょう屋ソフトが請け負って構築していたという。そこでは、ぴあからの発注仕様、運用ガイドラインと異なり、ファンクラブ受付サイトのデータベース上と、チケットサイトの通信ログ上に不適切にクレジットカード情報が保持されていた。そうした状況でApache Struts2の脆弱性が見つかり、悪意ある第三者の攻撃を受けて、情報が流出した。

　ぴあでは、発注仕様、運用ガイドラインと異なる仕様による構築や運用が行われていたのを把握できていなかった。「確認の徹底が不十分だったことが本質的な原因」と認めた。一方、「チケットぴあ」サービスを提供する同社の基幹システムは、Apache Struts2は使用しておらず、今回の情報流出に関連したリスクはないとアナウンスした。

　具体的な事実関係は、今後の調査によって明らかになるだろう。とはいえ今回の事件では、外部発注先が発注仕様や運用ガイドラインの要項を順守しなかったのが発端だ。発注元のぴあやB.LEAGUEを、個人情報の流出事故というトラブルに巻き込み、クレジットカードの不正使用により、広く一般の利用者に実害をも与えてしまった。情報システムをセキュリティーリスクから守るためには、Web Application Firewall（WAF）や、不正侵入検知システムの導入といったシステム面の守りを固めるのはもちろん、自社やシステムの委託先も含めた人的な運用にも注意を割かなければならないことに、改めて警鐘が鳴らされた。

　企業や団体の規模にかかわらず、情報システムはセキュリティーリスクにさらされる。個人情報の取り扱いにどこよりも気に掛けていたであろうぴあですら、このような事件に巻き込まれる。

　ビジネスで、異業種を含めたさまざまな企業や団体の連携“エコシステム（生態系）”が形成されている。今回もぴあ本体ではなく、その委託先が攻撃を受けた。「中小企業だから、セキュリティー対策やセキュリティー教育はほどほどでいいだろう」といった感覚では、クライアントや協力会社、そして最終的に一般の消費者までを巻き込んだセキュリティー事故を引き起こす。このことを今回の事故の教訓として肝に銘じたい。

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

執筆＝岩元直久

【MT】

あわせて読みたい記事

セキュリティ対策虎の巻（第2回）
攻撃を食い止める多層防御。UTMソリューション
ネットワーク機器セキュリティ機器 ITアウトソーシング
2020.11.04

「脅威・サイバー攻撃」人気記事ランキング

「脅威・サイバー攻撃」カテゴリーから探す

連載バックナンバー

「情報漏えい、当社に関係なし」の嘘

企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。
ダウンロード
情報セキュリティ対策意識調査2022
DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。
ダウンロード
その対策は効果ナシ！セキュリティの常識を検証する
サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が崩れ始めています。本当に必要な対策とは何か？情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。
ダウンロード