« Skypeへの不正ログインでBaidoのリンクスパム | トップページ | Amazonにリスト型攻撃? »

2017年3月23日 (木)

Bリーグのスマホでチケット購入者にクレジットカード被害が発生?

Bl_card

数日前からバスケットボールのBリーグのファンの間でクレジットカードの不正利用が増えていて、東京ディズニーリゾートやユニバーサルスタジオジャパンの購入に使われたといった同じような被害ばかり。チケットぴあが原因でないかという話もあるんですが、それにしてはあまりにも偏ってる感じがするんですよね。専用で利用している人にも被害が出ているようですし。

公式では否定していますが、文面から不正ログインの調査をしたのかな?という感じですね。

GMOペイメントゲートウェイのように代行会社からの流出といったことがあったのかもと考えていますが、よくわからない状態です。

3/24 追記

クレジットカード情報を登録しただけで使っていないのに被害に遭ったとの話も出てきました。別ルートの流出も考えられますが、被害が同じなのでBリーグのサーバーでの流出の可能性が高くなったかなという感じがしますね。使用していないことからフォームの改ざんによる流出でなく保存されていたデータベースの流出の可能性が考えられます。

3/25 追記

クレジットカードでの決済を停止したとのメールが届いたとの話です。まだ原因はわかっていないようです。

「B.LEAGUEチケット」等でのクレジットカード決済一時停止のお知らせ - B.LEAGUE(Bリーグ)公式サイト
https://www.bleague.jp/news/21601.html

4/3 追記

専用に使っていたのに被害に遭った人がまた見つかりました。流出の可能性があるとは思うんですがBリーグからはまだ発表はないようですね。

4/25 追記

専門の第三者機関による詳細な調査をしていた結果が発表されました。

ぴあ運営 Bリーグサイトで個人情報15万件流出の恐れ― スポニチ Sponichi Annex スポーツ
http://www.sponichi.co.jp/sports/news/2017/04/25/kiji/20170425s00011000149000c.html

15万件の個人情報流出か ぴあ運営のサイトに不正アクセス - 西日本新聞
https://www.nishinippon.co.jp/flash/f_kyushu/article/324054
カード不正使用630万円分を確認 ぴあ運営サイトの個人情報流出 - 西日本新聞
https://www.nishinippon.co.jp/flash/f_kyushu/article/324055

B.LEAGUE(Bリーグ)公式サイト
https://www.bleague.jp/news/23536.html

ぴあ(PDF)
http://corporate.pia.jp/news/files/security_incident20170425.pdf
https://docs.google.com/viewer?url=http://corporate.pia.jp/news/files/security_incident20170425.pdf

ぴあ側がBリーグ用に構築したサーバーにApache Struts2の脆弱性を突いての攻撃だったようですね。流出の可能性があるものの中にセキュリティコードがあるのでクレジットカードの被害が集中していたと考えられますね。

2. 不正アクセスにより流出した可能性のある情報について

(1) 2016 年 5 月 16 日~2017 年 3 月 15 日の期間中に、B.LEAGUE 会員に登録されたお客様の
個人情報
⇒住所・氏名・電話番号・生年月日・ログイン ID・パスワード・メールアドレスの登録情報
合計 154,599 件(複数クラブへの重複登録を除いた件数 合計 147,093 件)

(2) 上記(1)のうち、ファンクラブ会費のお支払いに、クレジットカード決済をご利用になられた方の
決済情報
⇒カード会員名・カード会員番号・有効期限・セキュリティコード
合計 13,696 件

(3) 上記(1)のうち、2017 年 1 月 7 日~2017 年 3 月 13 日の期間中に、B.LEAGUE チケットサイトにて、
クレジットカード決済にてチケットを購入された方の決済情報
⇒カード会員名・カード会員番号・有効期限・セキュリティコード
合計 23,025 件 (上記(2)と(3)とで、重複を除いた件数 合計 32,187 件)

(4) 当該クレジットカード番号による、不正使用の件数と金額(4 月 21 日現在の集計値)
⇒197 件/6,300 千円
(これまでに判明しているもので、すべてのカード会社の集計値ではありません。不正使用分

の補償は、クレジットカード各社を通じてその全額を当社が負担いたします)

さらに追記

チケットサイトを請け負ったホットファクトリーで明確な痕跡が見つからなかったが疑義があると判断されたとの記述で引っかかっていたんですが、以下の記事で状況がわかりました。

ぴあ株式会社からのリリースについて | 株式会社ホットファクトリー
http://www.hot-factory.jp/notice.php

ぴあ運営の「B.LEAGUE」サイトで情報流出、特別損失も計上へ - ZDNet Japan
https://japan.zdnet.com/article/35100323/

 しかし、ファンクラブ受付サイトでは実際には仕様通りに運用されておらず、データベースにクレジットカード情報が保存されていた。チケットサイトではクレジットカード情報を保存していなかったものの、決済処理に関するログ情報が出力されており、これを第三者が閲覧した可能性は否定できないという。

ニュース解説 - (2/2)ぴあ運営サイト不正アクセス、Struts2の脆弱性は「S2-045」:ITpro
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/042500950/?P=2

 ぴあの発表を受け、ホットファクトリーはWebサイトで同社の見解を公表した。第三者機関による調査の結果、同社が構築したB.LEAGUEチケットサイトでは、通信ログからの情報流出は確認できないものの、閲覧等の可能性は否定できない「疑義」の報告を受けたとする。ぴあによると「個人情報の流出は確認できなかったが、サイトにはバックドアが仕掛けられていた。ログを残さない方法で情報が取られている可能性は否定できない」という。

バックドアがありログ情報もあった状態で明確なログがない状態となると流出していないとは言い切れない状態のようですね。

今回の件はクレジットカード情報が流出したため判明しましたが、クレジットカードを含めない個人情報のみだった場合は最初の調査で流出無しと判断されたように気づけなかった可能性が高いでしょうね。

最近初めて不正ログインされたとのSNSへの投稿が増えていますが、同じ脆弱性による攻撃で気づいていない・発表していないサイトから流出しているものが含まれていてもおかしくないんですよね…

5/19 追記

クレジットカード情報流出疑いがさらに6508件追加と被害が379件 約880万円と修正されて発表されました。

B.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告 - B.LEAGUE(Bリーグ)公式サイト
https://www.bleague.jp/news/23536.html

http://corporate.pia.jp/news/files/security_incident20170518.pdf
https://docs.google.com/viewer?url=http://corporate.pia.jp/news/files/security_incident20170518.pdf

6/1 追記

ぴあとBリーグの連名でクオカードが送られてきたとのツイートがありますが、500円と3000円と2種類見つかります。

クレジットカード情報が流出した人が3000円でそれ以外が500円ということかもしれないですね。

 

 

8/5 追記

8月5日(土)13:00からソニーペイメントサービス株式会社へ決済を委託することでクレジットカードの決済を再開するとのことです。

B.LEAGUEチケット等でのクレジットカード決済再開について - B.LEAGUE(Bリーグ)公式サイト
https://www.bleague.jp/news/30537.html

« Skypeへの不正ログインでBaidoのリンクスパム | トップページ | Amazonにリスト型攻撃? »

情報セキュリティ」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« Skypeへの不正ログインでBaidoのリンクスパム | トップページ | Amazonにリスト型攻撃? »