数あるスポーツの中でもファンが多いバスケットボール。日本では特に若者からの人気が高く、競技者登録人口はサッカーに次いで国内第2位を誇る※1。その一方で、事業規模はサッカーの10%程度と言われており、多くのポテンシャルを秘めたスポーツであると言える。

※1 野球は競技者登録システムが無いため、正確な競技者登録人口は不明

2015年に新設された日本のプロバスケットボールリーグを統括するB.LEAGUEは、チケット購入から入場までの流れをスマートフォンのみで完結させる「スマホファースト」を掲げ、統合データマネジメントプラットフォームの構築やデジタルマーケティングの取り組みを進めてきた。

そうした中、B.LEAGUEのチケットサイトおよびファンクラブ受付サイトのサーバー環境に対する不正アクセスが行われ、クレジットカード情報を含む個人情報が流出する事故が2017年3月に起こってしまった。その後、379件(約880万円)のクレジットカード不正使用の被害が報告されている(2017年5月時点)。

重大な事故であったが、プレスリリースでの詳細な説明や丁寧な事後対応が評価され、『第3回 セキュリティ事故対応アワード』優秀賞を、運用・開発委託先のぴあとともに受賞した。

顧客だけでなく、各チームやカード会社など、多くのステークホルダーが関わる案件にB.LEAGUEとしてどう対応していったのか。常務理事・事務局長の葦原 一正氏に聞いた。

当初の調査結果から一転、不正引き落としの可能性が発覚

2017年3月、Apache Struts 2の脆弱性が見つかり、これに伴う情報流出事故が多数起こった。B.LEAGUEもこの脆弱性を狙った攻撃の被害を受けた組織の一つだ。

Apache Struts 2の脆弱性発覚後、B.LEAGUE内ではじめに異常を認識したのは3月13日だった。B.LEAGUEチケットサイト内で不審なプロセス起動が発覚したため、一旦すべてのサービス提供を停止。しかし、バージョンアップ完了後、当日中にサービスを再開した。

葦原氏は「細かいトラブルは珍しいことではないので、本件もそのうちの一つであるという認識でした。まさかここまで重大なことが起きているとは思いませんでした」と振り返る。

クレジットカードが不正に利用されているとのユーザーからの問い合わせやSNS上での書き込みが複数確認されたのは3月19日。B.LEAGUEは、運営・委託先であるぴあへ調査を依頼したが、その後の調査結果は、クレジットカード情報の流出に関する不正なアクセスは確認されなかったというものであった。

「そもそもデータベース上にはクレジットカード情報を保持していない仕様だったので、我々もぴあも、漏れるはずがないという認識でした」(葦原氏)

しかし、3月24日に事態は急変した。「クレジットカード会社から十数件の不正引き落としに関する連絡が入り、B.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスにおけるカード決済機能停止と、専門の第三者機関を入れた詳細な調査をしたい」との連絡をぴあから受けたのだ。

そこで3月25日未明、B.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスでのカード決済機能を停止。同日早朝、ぴあおよびB.LEAGUE両社の公式ホームページにお知らせを掲載した。あわせて同日開催される全試合の会場にぴあスタッフを派遣し、現地での問い合わせ対応を実施した。