事故対応でB.LEAGUEが得た2つの教訓 [事故対応アワード受賞レポート]

[2018/03/01 19:18]周藤瞳美 ブックマーク ブックマーク

セキュリティ

数あるスポーツの中でもファンが多いバスケットボール。日本では特に若者からの人気が高く、競技者登録人口はサッカーに次いで国内第2位を誇る※1。その一方で、事業規模はサッカーの10%程度と言われており、多くのポテンシャルを秘めたスポーツであると言える。

※1 野球は競技者登録システムが無いため、正確な競技者登録人口は不明

2015年に新設された日本のプロバスケットボールリーグを統括するB.LEAGUEは、チケット購入から入場までの流れをスマートフォンのみで完結させる「スマホファースト」を掲げ、統合データマネジメントプラットフォームの構築やデジタルマーケティングの取り組みを進めてきた。

そうした中、B.LEAGUEのチケットサイトおよびファンクラブ受付サイトのサーバー環境に対する不正アクセスが行われ、クレジットカード情報を含む個人情報が流出する事故が2017年3月に起こってしまった。その後、379件(約880万円)のクレジットカード不正使用の被害が報告されている(2017年5月時点)。

重大な事故であったが、プレスリリースでの詳細な説明や丁寧な事後対応が評価され、『第3回 セキュリティ事故対応アワード』優秀賞を、運用・開発委託先のぴあとともに受賞した。

顧客だけでなく、各チームやカード会社など、多くのステークホルダーが関わる案件にB.LEAGUEとしてどう対応していったのか。常務理事・事務局長の葦原 一正氏に聞いた。

当初の調査結果から一転、不正引き落としの可能性が発覚

2017年3月、Apache Struts 2の脆弱性が見つかり、これに伴う情報流出事故が多数起こった。B.LEAGUEもこの脆弱性を狙った攻撃の被害を受けた組織の一つだ。

Apache Struts 2の脆弱性発覚後、B.LEAGUE内ではじめに異常を認識したのは3月13日だった。B.LEAGUEチケットサイト内で不審なプロセス起動が発覚したため、一旦すべてのサービス提供を停止。しかし、バージョンアップ完了後、当日中にサービスを再開した。

葦原氏は「細かいトラブルは珍しいことではないので、本件もそのうちの一つであるという認識でした。まさかここまで重大なことが起きているとは思いませんでした」と振り返る。

クレジットカードが不正に利用されているとのユーザーからの問い合わせやSNS上での書き込みが複数確認されたのは3月19日。B.LEAGUEは、運営・委託先であるぴあへ調査を依頼したが、その後の調査結果は、クレジットカード情報の流出に関する不正なアクセスは確認されなかったというものであった。

「そもそもデータベース上にはクレジットカード情報を保持していない仕様だったので、我々もぴあも、漏れるはずがないという認識でした」(葦原氏)

しかし、3月24日に事態は急変した。「クレジットカード会社から十数件の不正引き落としに関する連絡が入り、B.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスにおけるカード決済機能停止と、専門の第三者機関を入れた詳細な調査をしたい」との連絡をぴあから受けたのだ。

そこで3月25日未明、B.LEAGUE公式サイト内のクレジットカード決済機能を使ったサービスでのカード決済機能を停止。同日早朝、ぴあおよびB.LEAGUE両社の公式ホームページにお知らせを掲載した。あわせて同日開催される全試合の会場にぴあスタッフを派遣し、現地での問い合わせ対応を実施した。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
3504
2
事故対応でB.LEAGUEが得た2つの教訓 [事故対応アワード受賞レポート]
昨年3月、B.LEAGUEのチケットサイトおよびファンクラブ受付サイトのサーバー環境に対する不正アクセスがありクレジットカード情報を含む個人情報が流出する事故が起きた。重大な事故であったが、プレスリリースでの詳細な説明や丁寧な事後対応が評価され、『第3回 セキュリティ事故対応アワード』優秀賞を受賞した。当時の様子を常務理事・事務局長の葦原 一正氏に振り返っていただく。
https://news.mynavi.jp/itsearch/2018/02/28/bl/001_bleague.jpg
昨年3月、B.LEAGUEのチケットサイトおよびファンクラブ受付サイトのサーバー環境に対する不正アクセスがありクレジットカード情報を含む個人情報が流出する事故が起きた。重大な事故であったが、プレスリリースでの詳細な説明や丁寧な事後対応が評価され、『第3回 セキュリティ事故対応アワード』優秀賞を受賞した。当時の様子を常務理事・事務局長の葦原 一正氏に振り返っていただく。

会員登録(無料)

注目の特集/連載
AI人材に必要なもの
DMM.make AKIBAから生まれたスタートアップたち
はじめてのRPA導入
教えてカナコさん! これならわかるAI入門
RPA入門
PowerShell Core入門
Swagger 3.0 入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
クラウドアンケート

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

ページの先頭に戻る