「クレカ情報は保持しなかったはず」
ぴあ広報部によると、不正アクセスの痕跡が確認されたチケットサイトはホットファクトリー、ファンクラブ受付サイトはききょう屋ソフトがぴあの委託を受けて構築、運用していた。ぴあは2社に対し、決済時のクレジットカード情報は保持することなく、外部の決済代行会社で処理する仕様を依頼した。ウェブサイト開設後も仕様通りにシステムが運用されていることを確認していたという。
しかし、ファンクラブ受付サイトでは実際には仕様通りに運用されておらず、データベースにクレジットカード情報が保存されていた。チケットサイトではクレジットカード情報を保存していなかったものの、決済処理に関するログ情報が出力されており、これを第三者が閲覧した可能性は否定できないという。
情報流出に関するB.LEAGUEの説明
これについてぴあ広報部は、「ファンクラブ受付サイトで情報が保存されていた理由は分からないが、何らかのトラブルに備えて委託先が保持していたのではないかと思われる。チケットサイトでは運用上のミスがあったかもしれない」と説明。ただし現時点では顧客対応を最優先にしており、2社に詳細なヒアリングは行っていないという。2社はZDNet Japanの電話取材に対し、「ぴあが窓口のため、コメントはできない」と回答した。
ぴあは4月25日付で2016年度3月期の通期連結業績予想を下方修正し、2億5000万円の減益予想を発表した。今回の事態に伴う特別損失や引当額の増加に伴う実効税率の上昇による法人税などの増加が原因としている。なお、特別損失についてはサイバー保険に加入していたことから対応費用などの一部が補償され、損失規模は約2億円になるとしている。
同社では、不正アクセスの原因となったApache Struts2のバージョンアップとサーバ再構築を実施し、全ての現行システムとその運用に対するガイドラインの見直し、安全点検、監視を強化すると表明。さらなるサイバー攻撃に対処するため、4月20日にはウェブアプリケーションファイアウォールやIDS(不正侵入検知システム)なども実装した。