PR TIMES、90万件超の情報漏洩の可能性 発表前情報も

プレスリリース配信サービスの「PR TIMES」は7日、第三者によるサーバー内部への不正アクセスとサイバー攻撃が行なわれ、個人情報と発表前プレスリリース情報を中心とする保有情報が漏えいした可能性があると発表した。

現時点において、顧客情報の不正利用などの事実は確認されていないが、利用者にはパスワード変更などを呼びかけている。

PR TIMESはプレスリリースの配信や公開を行なうプラットフォームで、企業の発表前情報を取り扱うこともある。

不正アクセスが行なわれた4月24日時点において、発表予定日時が設定されていた発表前情報は1,182社1,682件。

漏洩の可能性がある個人情報は最大で90万1,603件で、企業ユーザー22万7,023件、メディアユーザー2万8,274件、個人ユーザー31万3,920件、インポートリスト(企業保有のプレスリリース送信先メディアの連絡先)33万1,619件、同社スタッフ767件。

銀行口座番号やクレジットカード情報などの決済関連情報は含まれない。

不正アクセス発覚と対応の経緯は、4月25日にPR TIMESのサーバーに不審なファイルが配置されていることを検知し、調査したところ、4月24日から25日にPR TIMES管理者画面へ第三者による不正アクセスが認められた。

PR TIMES管理者画面に入るには、IPアドレス認証、BASIC認証、ログインパスワード認証を通過する必要があるが、コロナ禍のリモート移行時にアクセスを許可するIPアドレスを増やした結果、追加の経緯が不明のIPアドレスが存在し、そのIPアドレスが侵入経路に使われていたという。

また、認証には普段使われていない社内管理の共有アカウントが用いられたという。

発覚後、不審なファイルの停止、不正アクセス経路の遮断とパスワード変更などを行なったが、4月27日深夜から4月28日早朝にかけ、攻撃者の設置した不審なプロセスを通した攻撃があったことを確認。

4月30日に当該プロセスを停止した。

バックドア(攻撃者がシステム内に不正侵入するための裏口)の存在が確認されたことに加え、最初に攻撃を開始した国内IPアドレスの後で、Telegram経由の通信が確認され、その後に海外IPアドレスからの攻撃も確認されたため、アクセス権限が別の攻撃者へ渡った可能性も考えられ、それらの侵入経路も全て遮断したという。

これらの対応とともに、管理者画面へのアクセス遮断を厳格化。

リモートワーク用IPアドレス許可を改めて整理し、現在の運営に必要最低限の許可に限定したほか、パスワード変更を行なった。

ただし、個人情報と発表前プレスリリース情報などの保有情報が漏えいした可能性が否定できないため、全ての利用者(企業ユーザー、メディアユーザー、個人ユーザー)へパスワード変更を依頼している。

本件については、個人情報保護委員会とJIPDEC(日本情報経済社会推進協会)に対し、個人情報漏えいの可能性があることを速報として報告。

また、警察署へサイバー攻撃の被害を申告し、事件相談として受理された。

再発防止策として、管理者画面のアクセス許可IPアドレスを、社内からの接続とVPNからの接続のみに制限し、攻撃者がアクセスできないようにする対応を実施。

また、今回バックドアファイルが配置された箇所、不正なファイルを実行できないようにする設定の追加を完了した。

加えて、WAF(Web Application Firewall)の設定の見直しと、2022年より進めている新管理者画面への移行を、2025年中に実施する。

参照元：Yahoo!ニュース