何が起きた?(要約)
CNプレイガイドのサーバーが不正アクセスを受け、同社が提供する一部チケットサイトで個人情報が閲覧・流出した可能性が判明した。メールアドレス236,323件に加え、127件で会員情報が含まれる可能性があると公表された。
影響
- 対象:CNプレイガイドが提供する一部チケットサイトの登録者情報(メールアドレス、ほか一部の会員情報)
- 期間:一次情報に明記なし
原因
委託先システム侵害(vendor breach)=販売管理・会員管理を委託するCNプレイガイドのサーバーが外部からの不正アクセスを受け、一部サイトの登録情報が第三者に閲覧・流出した可能性が生じたケース。
漏えいの可能性(一次情報ベース)
※「あり」は漏えい/閲覧の可能性が示されたもの、「なし」は一次情報で否定。「不明」は一次情報に明記なし。
| 漏えいの可能性 | 対象(サービス/サイト等) | 項目 | 備考(基準日・件数など) |
|---|---|---|---|
| あり | キョードー東京(チケットオンライン) | メールアドレス | 236,323件/登録基準:2024/04/24 |
| あり | 提供先の一部 | 会員情報 | 127件(会員番号・ログインID・氏名(カナ) 等) |
| あり(内数) | TBSチケット | 会員情報(氏名・電話番号・メール等) | 42名/上記127件の内数である旨を本文でも明記 |
| 一次情報により本件の対象外(決済代行会社のみで保持) | 決済(全体) | クレジットカード情報 | 「決済代行会社のみで保持」と明記=当該事象の対象外 |
| 不明(一次情報に明記なし) | ― | 住所・生年月日 等 | サイトごとの差異に留意/現時点で未記載 |
時系列
- 2025/09/05:不正アクセスを検知(外部からのアクセス遮断、調査開始)
- 2025/09/10:対外公表(CNプレイガイド)
- 2025/09/10:関係先から利用者向け通知(例:キョードー東京、TBSチケット)
関連用語メモ
- データ転送/一時保管領域=外部連携やバッチ処理の前後で一時保持する場所。領域自体は必要。
- 以下の運用不備でリスク顕在化
- 残存
- 保存期限/削除手順未整備
- 権限/監査の緩さ
- 公開/共有設定ミス
- 以下の運用不備でリスク顕在化
- ベンダー管理=委託先の統制(通知・監査・削除手順・最小権限)を契約と運用で担保すること。
コメント