株式会社ジェイ・スポーツは3月29日、3月27日にシステム不具合による個人情報漏えいが発生したと発表した。
これはキャッシュ処理の不具合により、3月27日午前5時30分頃から3月28日午後0時頃にJ SPORTSオンデマンドウェブサイトにログインしたユーザーのセッションが、同時間帯にログインした他のユーザーに共有される状態となったというもの。これにより、他のユーザーの名前、視聴履歴、購入商品、クレジットカード下4桁と有効期限が閲覧可能になり、購入と解約処理が、他のユーザーのものとして扱われたという障害が発生した。
個人情報の漏えいの対象となるのは、該当時間内のログイン総数2,425件のうち一部ユーザーの個人情報で、商品購入と解約処理の対象となるのは、該当時間内の購入125件のうち一部の購入と該当時間内の解約112件のうち一部の解約。
同社では28日午後0時頃の本件発覚後に、被害拡大を防ぐために決済機能とマイページ機能を一時的に停止し、新規の契約と登録情報を参照・変更できないように対応しサーバー側のキャッシュ機能を一部解除、同日午後9時5分頃には不具合を解消し決済機能とマイページ機能を再公開した。
同社では障害時間内に購入された125件の商品は3月末で自動的に解約とし全額返金し、対象の顧客には別途個別に案内する。また該当時間内にログインしたユーザーへは、契約情報を確認するよう呼びかけている。
これはキャッシュ処理の不具合により、3月27日午前5時30分頃から3月28日午後0時頃にJ SPORTSオンデマンドウェブサイトにログインしたユーザーのセッションが、同時間帯にログインした他のユーザーに共有される状態となったというもの。これにより、他のユーザーの名前、視聴履歴、購入商品、クレジットカード下4桁と有効期限が閲覧可能になり、購入と解約処理が、他のユーザーのものとして扱われたという障害が発生した。
個人情報の漏えいの対象となるのは、該当時間内のログイン総数2,425件のうち一部ユーザーの個人情報で、商品購入と解約処理の対象となるのは、該当時間内の購入125件のうち一部の購入と該当時間内の解約112件のうち一部の解約。
同社では28日午後0時頃の本件発覚後に、被害拡大を防ぐために決済機能とマイページ機能を一時的に停止し、新規の契約と登録情報を参照・変更できないように対応しサーバー側のキャッシュ機能を一部解除、同日午後9時5分頃には不具合を解消し決済機能とマイページ機能を再公開した。
同社では障害時間内に購入された125件の商品は3月末で自動的に解約とし全額返金し、対象の顧客には別途個別に案内する。また該当時間内にログインしたユーザーへは、契約情報を確認するよう呼びかけている。
![[Internet Week 2016] 厳選セキュリティセッション 第3回 「実践インシデント対応 ~事故から学ぶ~ 」 日本シーサート協議会 庄司 朋隆 氏](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/21309.jpg)