東京ディズニーランドなどで有名なオリエンタルランドグループのひとつである株式会社イクスピアリが運営するシネマコンプレックス「シネマイクスピアリ」の WEB サーバーに対して不正アクセスがあり、個人情報の漏えいがあったことが発覚しました。

発覚経緯

１０月末に契約している決済代行会社よりカード情報流出の疑いがある連絡を受け、カード決済サービスを停止し、その後調査会社による調査の結果、カード情報以外にも会員情報などの漏えいが発覚した。

被害状況

最大 2,432 名。内訳は

①オンラインチケット購入システム『My シート・リザーブ』での購入者・・・最大 1,414 名分

②会員カード『ムービーファンカード』会員専用ページにログイン・登録したユーザー・・・最大 1,120 名分

※①、②で重複している方がいるので総数は2432名とのこと

原因と対策

不正アクセス。それが可能であった原因に関しては、未記述。現在調査中かもしれません。

対策は決済システムに関しては速やかに改修するとのこと

（現在該当システムは停止中）

特徴的だなと思ったのが、お知らせ内に、システムの運用保守会社（業務委託先）を掲載している件です。

ベネッセの件など、委託先を開示する件は過去にもありますが、不祥事であると明確にしていないケースで開示するのはあまり例がなかったと思います。

憶測でありますが、漏えい原因をゼロディなどの未知の脆弱性を利用されてというよりは、開発運用側の人為的ミスと考えているのでしょうか。

いずれにせよ社会的影響の強い企業グループに関する一件なだけに今後の展開が見ものです。