旧ジャニーズ系チケット公式リセール「RELIEF Ticket」で情報漏えい　他ユーザーの口座情報など一時編集可能に　Cookie誤設定で

　ぴあは6月24日、公式リセールサービス「RELIEF Ticket」で、利用者の個人情報が一時的に他のユーザーから閲覧・編集できる状態になっていたと発表し、謝罪した。原因は外部からの攻撃や不正アクセスではなく、キャッシュの設定の誤りだったとしている。

【画像】23日に提供開始した「RELIEF Ticket」と、ぴあによる発表全文（計2枚）

　問題が起きたのは、23日午後6時15分から午後10時頃にかけて。アクセス集中による負荷軽減のため、Webページのキャッシュ（一時保存）設定を強化した際、ログイン状態を識別するCookie情報まで誤って保存してしまっていた。この影響で、RELIEF Ticketにログインした利用者が、ログイン履歴のある別のユーザーのマイページにアクセスしてしまう事態が発生。個人情報が閲覧、または編集可能になっていたという。

　対象となった個人情報は以下の通り。

・住所・電話番号：閲覧、変更が可能

・氏名・生年月日・メールアドレス：閲覧が可能

・クレジットカード番号（下3桁）・有効期限・名義：閲覧、登録、削除が可能

・銀行口座情報（金融機関名・支店名・口座種別・番号・名義）：閲覧、編集が可能

　ぴあは午後10時ごろまでにCookieの設定を変更し、全てのユーザーを強制的にログアウトさせる対応を実施。現在は正常に稼働しているという。該当期間中に情報が閲覧・変更可能だった利用者には個別にメールで連絡を行い、勝手に更新されていた場合も別途案内するとしている。

　RELIEF Ticketは、STARTO ENTERTAINMENT（旧ジャニーズ事務所）所属アーティストの公演チケットを定価で再販できる公式サービスとして、6月23日に提供を開始したばかり。ファンクラブ「FAMILY CLUB」で購入したチケットが対象で、公式でのリセール対応は今回が初となっていた。

　Xでは同日から「ログインすると知らない人の住所やクレジットカード情報が見える」「『他の端末でログインされたため、ログアウトしました』と表示された」などの報告が相次ぐ事態に。「怖くて使えない」「退会した」といった不安の声が上がっていた。

　謝罪発表後も、RELIEF Ticket側の対応に対して、「発覚時点でサービスを停止すべきだったのでは」「新規登録を止めなかったのは問題」といった批判の声が広がっている。