ぴあは4月25日、同社が運営を受託しているB.LEAGUEのチケットサイト、ファンクラブ受付サイトのサーバにおいて、何者かのサイバー攻撃による不正アクセスが確認され、会員の個人情報が流出した可能性があることが判明したと発表した。
個人情報、クレジットカード情報が流出した可能性のある会員には、B.LEAGUE、各クレジットカード会社と協議の上、同日より、電子メールおよび書状などにより、お詫びとお知らせの連絡を個別に開始するという。また、経済産業省への報告、ならびに警視庁、所轄警察署への相談は済ませたとしている。
発表によると、3月10日の情報処理推進機構(IPA)の発表を受け、アプリケーションフレームワーク「Apache Struts2」に脆弱性が存在することを認識したという。
当初、B.LEAGUE チケットサイト、ファンクラブ受付サイトに関連するWebサーバ上にクレジットカード情報は保存されていない認識でいたが、3月17日ごろより、会員顧客のツイッター上で、クレジットカードの不正使用に関する複数の書き込みがあり、事実関係に関する確認を開始した。
その後、クレジットカード会社からの報告により、対象のサイトを利用した会員のクレジットカード番号で、十数件の不正使用があった疑いが判明したため、3月25日に同サイトにおけるすべてのクレジットカード決済機能を停止し、さらに詳細な調査を外部の専門調査会社(PCF)に依頼したという。
その結果、同社がサイトの開設と運用を発注しているききょう屋ソフトが構築したファンクラブ受付サイト、ホットファクトリーが構築し B.LEAGUEチケットサイトにおいて、3月7日~15日の間、「Apache Struts2」への攻撃による、Web サーバとデータベースサーバへの不正アクセスの痕跡が確認されたとしている。
同社が抱える最大約15万5000件の個人情報(うち、クレジットカード情報約3万2000件を含む)が、悪意ある第三者に流出した可能性のあることが判明した。これは、同社からの発注仕様、運用ガイドラインと異なり、委託先のデータベース上(ファンクラブサイト)と通信ログ上(チケットサイト)に不適切に保持されていたという。
不正アクセスを受けたサーバは、B.LEAGUEチケットサイト、ファンクラブ受付サイト専用に外部に構築されたものだけで、「チケットぴあ」をはじめとするその他の当社サービスについて、同様の問題が発生していないことは確認されているとのこと。