ぴあが運営委託しているチケットサイト，Bリーグの個人情報が盗まれ，クレカの不正利用されたという報道があった．

　Apache Struts2フレームワークの脆弱性を突かれているのだけれど，再現情報を見ているとセキュリティホールの穴の大きさ（簡単さ）から危険すぎるもの．
　脆弱性情報が発表されて修正対応済みのバージョンアップをするまでの，わずかな期間だったようだ．
　擁護すべきものでもないけれど，今回のものは，運が悪かったと言えるものかな．

　あるべき姿としては脆弱性が発見されてから対応が終わるまで，安全が確認されるまでは間はサービスを停止するのが良いでしょう．たぶん鉄道関係の考え方はそれになる．命に直結するし．けれど，チケット販売サイトだと，なるはやローリングアップデートになるとおもう．それもプロバスケットボールのチケットサイトなので．

・脆弱性情報のキャッチ
・バージョンアップの検証
・バージョンアップの実施

　この三段階を踏むのは，運営をやっていると大変難しいと知っているけれど，世間はそれを許さないとおもう．こうなると汎用的なフリーソフトを使って構築するというのは，攻撃対象として狙われやすいから，マイナーなメーカ製の方が良いのではないかと，思えてくる．