2025年6月23日、ぴあ株式会社は、自社が運営するリセールサイトにおいて、Webページのキャッシュ設定の誤りにより、一部の利用者の個人情報が他の利用者に閲覧・編集可能な状態になっていたことを公表し、謝罪しました。
事案の概要と発生経緯
問題が発生したのは、6月23日(月)18:15から22:00頃にかけての約4時間です。
この間、サイトへのアクセス集中によるサーバー負荷軽減を目的にキャッシュ設定を強化したところ、誤ってログイン状態を識別するCookie情報もキャッシュ対象に含めてしまい、結果的に他人の「Myページ」が表示される事象が発生しました。
これにより、他のお客様がログイン中の状態と誤認され、閲覧・編集が可能となる深刻な情報漏えいが生じました。なお、外部からの不正アクセスによるものではなく、内部の設定ミスが原因です。
閲覧・編集可能だった情報の内容
以下の個人情報が一時的に他者から閲覧・編集可能な状態でした
- 【閲覧・変更可能】:住所、電話番号
- 【閲覧可能】:漢字氏名、かな氏名、生年月日、メールアドレス
- 【閲覧・登録・削除可能】:クレジットカード番号(下3桁)、有効期限、名義
- 【閲覧・編集可能】:金融機関名、支店名、口座種別、口座番号、口座名義
該当期間中に情報が閲覧・変更された可能性がある対象者には、ぴあより個別に連絡が行われます。変更履歴が確認された場合も、別途案内があるとのことです。
企業の対応と再発防止策
ぴあは、当該Cookieの保存設定を解除し、全ユーザーを強制的にログアウトさせる措置を実施。現在は正常に稼働しており、追加の被害は確認されていないとしています。
同社は「お客様の信頼を損なったことを深く反省し、再発防止と情報管理体制の強化に努める」とコメントしています。
関連記事
伊予銀行がイセトーのランサムウェア攻撃と不正アクセスで約25万件の個人情報 漏洩
核酸製品販売のフォーデイズ、会員サイトへの不正アクセスによるサイバー攻撃で約134万件の個人情報漏洩の可能性
大分のトキハインダストリー 、ランサムウェアによるサイバー攻撃で約42万人の個人情報漏洩の可能性
群馬大学がYouTubeに映った映像から個人情報漏洩を発表
西友、ブルーヨンダーへのサイバー攻撃で約3万人の従業員の個人情報が漏洩-ランサムウェア グループが犯行声明 発表済み
良知経営で不正アクセス、最大45万件の個人情報や取引先情報 流出の可能性
biima sports、メール誤送信で約2.3万人分の個人情報が漏洩
良知経営、不正アクセスの最終報を公表「情報流出の痕跡なし」
MoneyCharger運営事務局、公式 LINEへの不正アクセス、誤配信と個人情報含むファイル送信を確認
