【緊急事態】RELIEF Ticketで個人情報が丸見え状態に!Cookie設定ミスが招いた深刻なセキュリティ事故の実態

まさかの事態!他人の口座情報が編集できる状態に

2025年6月23日、STARTO ENTERTAINMENT公認のチケット再販サービス「RELIEF Ticket」で、とんでもない事態が発生しました。なんと、一部の顧客の個人情報が第三者から閲覧・編集可能な状態になってしまったのです。

この事故、正直言ってかなりヤバイです。フォレンジックアナリストとして数多くのサイバー事件を見てきましたが、今回のケースは「技術的なミス」が引き起こした典型的な情報漏えい事故と言えるでしょう。

流出した個人情報の詳細

今回の事故で影響を受けた個人情報は以下の通りです:

閲覧・登録・削除が可能だった情報:

  • クレジットカード番号(下3桁のみ)
  • 有効期限
  • 名義

閲覧・編集が可能だった情報:

  • 金融機関名
  • 支店名
  • 口座種別
  • 口座番号
  • 口座名義

閲覧・変更が可能だった情報:

  • 住所
  • 電話番号

閲覧のみ可能だった情報:

  • 漢字氏名・かな氏名
  • 生年月日
  • メールアドレス

特に恐ろしいのは、口座情報やクレジットカード情報が「編集可能」だったことです。これ、悪意のある第三者がアクセスしていたら、勝手に口座情報を変更されて、チケット代金の振込先を変更されていた可能性もあったんです。

Cookie設定ミスが招いた深刻な事態

今回の事故の原因は、サーバー負荷軽減のためのキャッシュ設定強化の際に発生した「Cookie設定ミス」でした。本来であれば、ログイン状態の識別情報(Cookie)はキャッシュに含めてはいけないのですが、誤ってこれを含めて保存するよう設定してしまったのが原因です。

この結果、サイトにアクセスすると、まるで他のユーザーがログインしているかのような状態でMyページが表示され、そのユーザーの個人情報が丸見えになってしまったのです。

フォレンジック分析から見える問題点

CSIRTの現場で数多くのインシデント対応を行ってきた経験から言うと、今回のような「設定ミス」による情報漏えいは、実は企業で頻繁に発生しています。

例えば、過去に対応した事例では:

  • ECサイトでセッション管理の設定ミスにより、他の顧客の注文履歴や住所が表示される事故
  • 会員制サービスでキャッシュ設定の誤りにより、他の会員のプロフィール情報が閲覧可能になった事故
  • オンラインバンキングでCookie処理の不備により、他の顧客の口座残高が表示される重大事故

これらの事故に共通するのは、「システムの利便性向上」を図る際の設定変更で発生していることです。今回のRELIEF Ticketの事故も、サーバー負荷軽減という「改善」を目的とした作業中に発生しました。

個人でできるセキュリティ対策

このような企業側のミスによる情報漏えいを完全に防ぐことは困難ですが、個人レベルでできる対策もあります。

1. 定期的なパスワード変更とログアウト

特に金融情報を扱うサービスでは、利用後は必ずログアウトする習慣をつけましょう。今回の事故でも、ログイン状態が継続されていたことが被害拡大の要因でした。

2. 不審なアクセスの監視

クレジットカードや銀行口座の利用明細は定期的にチェックし、身に覚えのない取引がないか確認しましょう。

3. セキュリティソフトの活用

アンチウイルスソフト 0を導入することで、フィッシング詐欺やマルウェア感染のリスクを大幅に軽減できます。特に個人情報を扱うサイトにアクセスする際は、セキュリティソフトのリアルタイム保護機能が重要です。

4. 通信の暗号化

公共Wi-Fiを利用する際は、VPN 0を使用して通信を暗号化しましょう。個人情報を入力する際の盗聴リスクを大幅に軽減できます。

企業のインシデント対応から学ぶ教訓

今回の「ぴあ」の対応を見ると、事態を把握後、迅速にログイン状態の識別情報を解除し、全ユーザーを強制ログアウトさせています。また、影響を受けたユーザーへの個別連絡も予定されており、インシデント対応としては適切な対応と言えるでしょう。

しかし、フォレンジックの観点から言うと、今回のような事故では以下の点も重要です:

  • ログの詳細な分析による実際のアクセス状況の把握
  • 第三者による不正アクセスの有無の確認
  • 情報の改ざんや削除の実行状況の調査
  • 再発防止策の策定と実装

まとめ:個人情報保護の重要性

今回のRELIEF Ticketの事故は、「たった数時間の設定ミス」が、数万人規模の個人情報流出につながる可能性があることを示しています。

特に現代では、一つのサービスで大量の個人情報が管理されているため、一度の事故で甚大な被害が発生する可能性があります。企業側の対策はもちろん重要ですが、個人レベルでもアンチウイルスソフト 0VPN 0を活用したセキュリティ対策を怠らないことが重要です。

一次情報または関連リンク

旧ジャニーズ系チケット公式リセール「RELIEF Ticket」で情報漏えい 他ユーザーの口座情報など一時編集可能に Cookie誤設定で – Yahoo!ニュース

タイトルとURLをコピーしました