企業などの広報発表情報をマスコミなどに配信するサービス「PR TIMES」は、不正アクセスのセキュリティインシデントが発生し、企業の広報担当者やマスコミなどの利用者情報が外部に漏えいした恐れがあると発表した。
同社によると、4月25日にサーバーでの不審なファイルの配置を検知し、調査したところ24~25日にPR TIMESの管理者画面に第三者の不正アクセスが発覚。その後の調査で、攻撃者による初期の不正アクセスが同8~9日に発生していたことが分かったという。
同社は、PR TIMESの管理者画面へのアクセスでIPアドレス認証とBASIC認証、ログインパスワード認証の3つの認証を実施しているという。また、コロナ禍でのリモートワーク拡大時にアクセスを許可するIPアドレスを追加していた。
25日の検知後に同社は、不審なファイルの停止や特定IPアドレスからのアクセスを遮断した。このIPアドレスは、上述のような追加の経緯が不明なものだったといい、攻撃者が突破した認証には、普段使われていない社内管理の共有アカウントが使われていたという。
しかし、27日深夜~28日早朝に攻撃者が設置した不審なプロセスを介しての攻撃が判明し、同社は外部専門機関と30日にこのプロセスを停止させた。ここで攻撃者が初期侵入時にバックドアを設置したこと、上述のIPアドレスからのアクセス後に「Telegram」経由の通信、さらに海外IPアドレスからの攻撃も判明し、同社はアクセス権限が別の攻撃者に渡った可能性を考え、それらの侵入経路を全て遮断したと説明する。
その後5月2日までに外部専門機関が影響範囲を調査し、同日に所轄警察署へ被害相談および個人情報保護委員会、日本情報経済社会推進協会(JIPDEC)に速報としてセキュリティインシデントの発生を報告。同7日に所轄警察署へサイバー攻撃被害を申告し、警察が事件相談として受理した。そしてこの事案を公表した。
同社は、いずれのプロセスもサービス運営に影響はなく、顧客とシステムでの実被害の確認、報告はないと説明する。しかし、一定量のデータ転送が確認され、情報漏えいの恐れを否定することもできないとした。漏えいの恐れがある情報は最大90万1603件で、個人情報やマスコミ編集部門などの「メディアリスト」、4月24日時点で発表予定日時が設定されていた1182社1682件の発表前プレスリリース(マスコミ向けの企業広報)など。銀行口座番号やクレジットカード情報など決済関連情報はないという。個人情報の内訳は以下の通り。
企業ユーザー:22万7023件
メールアドレス、氏名、企業ID、所属部署名、電話番号、ファクシミリ番号、ハッシュ化されたパスワード
メディアユーザー:2万8274件
メールアドレス、氏名、メディア名、メディアURL、所属企業名、所属部署名、企業所在地、電話番号、ファクシミリ番号、ハッシュ化されたパスワード
個人ユーザー:31万3920件
メールアドレス、氏名、URL(個人ブログなど)、SNSアカウント名、ハッシュ化されたパスワード
インポートリスト:33万1619件
メールアドレス、氏名、メディア名、所属企業名、所属部署名、電話番号、ファクシミリ番号
PR TIMESの従業員:767件
氏名、メールアドレス、登録日、最終ログイン日時、暗号化されたパスワード
なお、ZDNET Japan編集部の担当者もメディアユーザーに該当しており、5月8日夜に同社からこの事案に関する内容のメールを受信した。
再発防止策として同社は、管理者画面へのアクセスを許可するIPアドレスを社内およびVPN回線からに制限。バックドア配置箇所に不正ファイルを実行できないようにする設定を追加したという。さらに導入済みウェブアプリケーションファイアウォール(WAF)設定を見直すほか、2025年中に共有アカウントの利用を廃止する新管理者画面への移行を予定しているという。
