2018/01/16
2017年04月25日、B.LEAGUEにて個人情報流出のニュースが出ております。クレジットカード情報を含むそうで、実際被害も報告されているとの事。原因と対処法、そして個人的な見解についてまとめます。
sponsored link
公式発表はこちらから
■B.LEAGUE
B.LEAGUEチケットサイト、及びファンクラブ受付サイトへの不正アクセスによる、個人情報流出に関するお詫びとご報告
https://www.bleague.jp/news/23536.html
■ぴあ株式会社(チケットぴあ)
http://corporate.pia.jp/news/files/security_incident20170425.pdf
■専用問い合わせ窓口はこちら↓
●専用フリーダイヤル0120-800-152
[受付:4月25日(火)~4月30日(日)・10:00~21:00、5月1日(月)~終了時期未定・10:00~20:00]
●専用メールアドレスblg-info@pia.co.jp
経緯の概要
経緯の概要を公式発表から抜粋しました。
3/19(日)クレジットカード不正利用の報告多数、運営・委託先であるぴあへ調査を依頼。
3/24(金)クレジットカード会社からぴあから「クレジットカード会社から十数件の不正引き落としに関する連絡が入り、B.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスにおけるカード決済機能停止と専門の第三者機関を入れた詳細な調査をしたい」との要望の電話連絡を受ける。
3/25(土)B.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスでのカード決済機能停止。
4/10(月)ぴあより、第三者機関調査の中間報告。「Apache Struts2」の脆弱性をついたサイバー攻撃による不正アクセスの痕跡があったことが報告される。
4/16(日)ぴあより、第三者機関の最終報告を受領。当初のシステム発注仕様と異なり、クレジットカード情報やログなどの情報が不適切に委託先のWebサーバー上に保持されていたことが判明、サーバー上に不正なプログラムを設置されたことにより情報流出の可能性があったとの報告。
原因の概要
原因の概要は以下となります。
1.「Apache Struts2」の脆弱性を狙った攻撃
2.システム発注仕様と異なり個人情報が不適切に開発会社のサーバー上に保持
【重要!】流出対象となったファンの対応は?
幸い自分はB.LEAGUEチケットは当日券かコンビニ受け取り(コンビニ払い)しかした事が無いため今回の対象とはなりませんでしたが、今回流出の可能性のある人にはメール等で連絡が行くそうです。
もし流出の可能性があると解った場合はどうすれば良いでしょうか?
やるべき事はクレジットカードを落とした時と同じです。
早急にカード会社に使用の停止の依頼とカード再発行の依頼をした方が良いでしょう。
B.LEAGUEかぴあ株式会社から連絡が来ている場合は、カード再発行の手数料はぴあ株式会社で補償してくれるとの事です。先ほどの公式発表の「3. お客様へのお願い」を良くお読み下さい。
http://corporate.pia.jp/news/files/security_incident20170425.pdf
解らない事があれば、以下の専用問い合わせ窓口があるのでそちらへ。
●専用フリーダイヤル0120-800-152
[受付:4月25日(火)~4月30日(日)・10:00~21:00、5月1日(月)~終了時期未定・10:00~20:00]
●専用メールアドレスblg-info@pia.co.jp
【以降、長文注意!】原因の考察
原因について、発表からは前途の「原因の概要」について、個人的に考察してみました。
ちょっと長文になってしまいました。
以下、興味のある方だけお読み下さい
1.「Apache Struts2」の脆弱性を狙った攻撃
そもそも大量の個人情報を扱うにあたり、無償のApache Struts2を使っていた事自体が適切だったのか?とは思います。Apache Struts2は狙われやすいと言われていたし、有料のフレームワークを使っていれば責任の所在は明確に出来ました。
ただし、WEBサイトにおいて脆弱性は、フレームワークに限らず、OS、WEBサーバー、動作しているアプリ自体でも起きる可能性があります。
クレジットカードの様な大事な情報は、脆弱性の問題が発生したとしても取られてはいけないハズです。
根本の問題は次の2へ移ると思います。
2.システム発注仕様と異なり個人情報が不適切にサーバー上に保持
これは問題ですね。
特に問題なのは「セキュリティコード」が保持されていた事でしょう。
ぴあの発表からすると、
①ファンクラブ会員サイトを開発していた会社にはデータベース上に
②チケット販売を開発していた会社には通信ログ上に
それぞれ個人情報が残っていたとあります。
データベース上にカード情報に加えて「セキュリティコード」が残っていたのであれば大問題です。
カード番号等は入力補助(何度も入力するのがメンドクサイ人のため)一度入力した情報をユーザーの同意の上で取っておくことは問題ありませんが、万が一その保管していたカード番号が流出した時のためにあるのが「セキュリティコード」です。
「セキュリティコード」は保管せず毎回入力する事が義務付けられているからこそ意味のあるコードです。「セキュリティコード」をカード番号と一緒に保管してしまっては、カード番号がただ3桁増えただけです、「セキュリティコード」の存在意義が無くなります。
あと、これは個人的な意見ではありますが、②の通信ログについては多少同情出来る部分はあります。
なぜならカード決済するにあたり、購入者が入力した情報をサーバーに届け、さらにクレジットカード会社に届ける必要があるため、絶対に通信上に情報を通す必要があります。その時に通信ログをしっかりとっておかないと、ユーザーからの「決済したつもりがされてない」とか「なぜか2回決済された」といったといった問い合わせに対し「ログ無いので解りません」と言った答えをするしかなくなります。
なので通信ログは取っておく必要はあります。
ただ、そういう問題をなんとかするのが本当のSEの仕事で、たとえ通信ログでも「セキュリティコード」だけは外しておくべきですし、普通は通信関係は暗号化しておくはずです。
実際、同じ「Apache Struts2」の脆弱性でクレジット情報を取られたGMOは暗号化後の状態で取られたとして実被害はないとしています(本当かどうかは解らないですが、そう発表しています。)
と、まあ、このぴあの外注先会社の仕事の品質にも問題があったのですが、なぜ、個人情報を扱う仕事でこんな事が起きたのか?
原因の概要でも記載した上記『1.「Apache Struts2」の脆弱性を狙った攻撃」』と『2.システム発注仕様と異なり個人情報が不適切にサーバー上に保持』に加え、3と4と追記しています。
3.厳しい納期と予算
1つに納期の厳しさと、もう1つは、マイナースポーツバスケゆえの予算の少なさ?
ではないかと感じます。
納期については、そもそもB.LEAGUEが相当バタバタで始まっています。
設立が決まってから1年半。
しかも、正式なリーグ名や参加チームが決まってからは1年足らず(その時点でも決まっていない事が多々)。
普通この規模の開発を1年足らずでやれと言われたら・・・(一応同じような業界の)自分なら間違いなく断ります!リスクが高すぎます(実際こうして事故起きましたし・・・)
少ない納期で安全性を高めようとすると今度はコストがかかりますが、発足したてのB.LEAGUEにそこまでの余裕があったとも思えません。
自分もボランティアスタッフでB.LEAGUEの試合に参加した事もあるのですが、各クラブは少ない予算と少ないスタッフで、本当にギリギリの経営をしています。
限られた納期・限られた予算の中で安全性の優先度が下がってしまったのでは?と考察しております。
4.委託の委託・・・・管理出来ない管理体制
発表によると当初、B.LEAGUEがぴあに確認した時に、ぴあは「個人情報の流出はありません」と答えたらしい。その後、第三者による調査で流出の可能性が解ったとの事。
B.LEAGUEはぴあに聞かないと解らない、ぴあも開発会社が何をしているのか、第三者の調査が出るまで解らない、完全に管理が出来ていなかったという問題もありますね。
ただ、これは問題ではあるものの、現実問題すべて管理する事は不可能であり、なにもかも全て管理出来るくらいなら委託はしないです。
その道のプロに委託をするのであれば、お金を払う代わりにある程度は任せる事になるでしょう。
結局、後は信用問題になってくるのだと思います。
B.LEAGUEもチケット販売を委託するにあたり、ぴあ以上の選択肢があったとは思えません。
開発会社のHPを見るとPマークを持っている会社のため、本来は個人情報の流出はしませんという日本工業規格のお墨付きの会社なのです。
そう考えると、B.LEAGUEもぴあも完璧な管理は出来ていなかったとは言え、最善の選択肢をしていたのだとは思いますが、委託先を信用し過ぎたために管理体制の弱さになってしまったのではないでしょうか?
今後の展望
今回の件、もちろんユーザーから見たらB.LEAGUEに最も責任があります。
しかし、先ほども書きましたが、正直、B.LEAGUEにとってチケット販売するシステムを作るにあたり、ぴあに委託する以上の選択肢があったとは思えません。(ぴあにチケット販売を委託している会社は世の中にごまんとあります。)
ただし、今回の件を受けてB.LEAGUE側も出来る対策はあるはずです。
システム発注仕様に個人情報の保護を入れていたとの発表でしたが、出来たものを確認した時に上辺だけ気にして中身の確認を疎かにしていなかったか?
今回の件だけではありません、B.LEAGUEは演出等では非常に力を入れていますが、選手の育成や試合内容のレベルアップ向上に対する対応にはまだ具体案が無いように見えます。
もちろん、ファンに初めてリーグを見てもらうB.LEAGUE元年は派手さで人を呼び込む事は必要だったかもしれません。
しかし、2年目以降は、いかにファンを定着させるかが大切、これからは中身・内容が勝負ではないでしょうか?
リーグ元年の最後にこいうった大きな問題が起きたことは、来期に向け神様がくれた警告であり試練だと思います。
開幕戦でのE–girlsのパフォーマンス・・・大いに結構だったと思いますが、来期はその予算をシステムの安全面なり、選手やスタッフ達に使ってあげて欲しいと思います。
来期、東京エクセレンスのB2ライセンスが発行されないなど、クラブや選手には高いレベルを要求しているB.LEAGUEですから、B.LEAGUE自身もこの問題への対応を真摯に取り組みより一層レベルアップしたリーグとなってくれる事を期待します。
いろいろ苦言も書いてしまいましたが、選手やスタッフなど(主に若い人たちが)現場で頑張ってB.LEAGUEを作り上げようとしている事は知ってます。
ので、自分はこれからもB.LEAGUE応援して行きたい。
最後までお読みいただき、ありがとうございました!