J SPORTS、システム不具合で最大344人の個人情報漏洩

ジェイ・スポーツは、3月27日に発生したJ SPORTSオンデマンドのシステム不具合による個人情報漏洩について、調査報告を行ない、最大で344人のユーザーの個人情報の漏洩と、ユーザーが意図しない商品の購入・解約、新たに発見された事象としてクレジットカード情報の上書きがあったと発表した。

このシステム不具合は、2019年3月27日午前5時30分頃～3月28日午後0時(正午)頃まで発生したもので、この障害時間内にJ SPORTSオンデマンドWebサイトにログインしたユーザーのセッションが、同時間帯にログインした他のユーザーと共有される状態となることで、ユーザーの名前、視聴履歴、購入商品、クレジットカード下4桁と有効期限(年月)が閲覧可能となり、購入・解約処理が、他のユーザーのものとして扱われたというもの。

ID・パスワードの漏洩、不正アクセスなどによって発生したものではなく、J SPORTSオンデマンドのWebサイトのキャッシュ処理の不具合が原因だったという。

調査の結果、個人情報の漏洩は最大で344人で、該当のユーザーには、既にJ SPORTSオンデマンドで登録されているメール宛に案内を送付したという。

ユーザーが意図しない商品の購入・解約は、購入が3件、解約5件の合計8件発生。これも、該当ユーザーにメールで案内済み。

新たに発見されたのは、クレジットカード情報の上書き。これは、2人のユーザーがクレジットカード情報の登録変更手続きを行なった際に、システム不具合により誤って他のユーザーのIDにクレジットカードの情報が上書きされ、J SPORTSオンデマンドの商品が購入されたというもの。ただし、カード番号全体やセキュリティコードが他のユーザーに知られる、ということはないという。

変更を行なったユーザー2人、その結果クレジットカードの情報が上書きされたユーザー2人の、合計4人に影響が出た。上書きされたユーザーのカード情報は、消去済で、現在は参照されない状態になったという。上書き時に参照され得た情報は、カード番号の下4桁と有効期限のみ。該当する4人には、メールで案内済みだという。

今回の不具合を受けてジェイ・スポーツでは、設計、テストレビュー体制の見直し、人的チェックに加えて、ツールを用いた機械的チェック機能の強化を、再発防止策として発表している。