株式会社PR TIMESは5月7日、同社のプレスリリース配信サービス「PR TIMES」への不正アクセスについて発表した。
これは4月25日に、PR TIMESのサーバに不審なファイルが配置されていることを検知し調査したところ、4月24日から25日にPR TIMES管理者画面への第三者からの不正アクセスを確認したというもの。
PR TIMES管理者画面に入るには、IPアドレス認証、BASIC認証、ログインパスワード認証を通過する必要があり、コロナ禍のリモート移行時にアクセスを許可するIPアドレスを増やす対応を行っていたが、追加の経緯が不明なIPアドレスが存在し、そのIPアドレスが侵入経路に使われていたという。また、認証には普段使われていない社内管理の共有アカウントが使われていた。
同社では不審なファイルの停止と不正アクセス経路の遮断、パスワード変更などを行なったが、4月27日深夜から4月28日早朝にかけ、攻撃者の設置した不審なプロセスを通した攻撃があったことを確認したため、4月30日に当該プロセスを停止している。
同社ではバックドアの存在が確認されたことに加え、最初に攻撃を開始した国内IPアドレスの後で、Telegram経由の通信が確認され、その後に海外IPアドレスからの攻撃も確認されたことから、アクセス権限が別の攻撃者へ渡った可能性を考え、全ての侵入経路を遮断している。
同社では、攻撃者が閲覧できた範囲の情報に関して全て漏えいのリスクがあったと言わざるを得ず、具体的なログが残っていないため断定できないが、一定の容量のデータ転送が確認されており、また漏えいの可能性を否定できるエビデンスも存在しないことから、管理者画面の保有情報が漏えいした可能性があるとしている。
漏えいの可能性がある個人情報は最大で90万1,603件で、その内訳は下記の通り。
・企業ユーザー:22万7,023件
メールアドレス、氏名、企業ID、所属部署名、電話番号、FAX番号、ハッシュ化されたパスワード
・メディアユーザー:2万8,274件
メールアドレス、氏名、メディア名、メディアURL、所属企業名、所属部署名、企業所在地、電話番号、FAX番号、ハッシュ化されたパスワード
・個人ユーザー:31万3,920件
メールアドレス、氏名、URL(個人ブログ等)、SNSアカウント名、ハッシュ化されたパスワード
・インポートリスト:33万1,619件
メールアドレス、氏名、メディア名、所属企業名、所属部署名、電話番号、FAX番号
・PR TIMESスタッフ:767件
氏名、メールアドレス、登録日、最終ログイン日時、暗号化されたパスワード
また、同社が保有するプレスリリース送信先メディアの編集部デスク等の連絡先(メディアリスト)の情報は最大で2万514件が対象。
その他、4月24日時点で発表予定日時が設定されていたプレスリリース発表前情報は1,182社1,682件。
同社では5月7日に、企業ユーザー、メディアユーザー、個人ユーザーを含む全ての顧客に説明するとともに、安全性を高めるためにパスワード変更を依頼している。
なお同社では、当該不正アクセスが犯罪行為に該当する可能性があるとの認識のもとで、罪証隠滅のおそれを少なくするため、警察への被害申告の後に顧客へのご案内を行う方針でいたため連絡が遅くなったという。
同社では、管理者画面のアクセス許可IPアドレスを社内からの接続とVPNからの接続のみに制限し、攻撃者がアクセスできないようにする対応を実施済みで、今回バックドアファイルが配置された箇所で不正なファイルを実行できないようにする設定の追加を完了している。
同社では現在導入しているWAF(Web Application Firewall)の設定の見直しと、2022年から進めているセキュリティをより担保しやすい新管理者画面への移行を2025年中に予定している。
同社では今後、発表前の重要情報を預かるプラットフォーム運営企業として、より一層のセキュリティ対策と監視体制の強化に努めるとのこと。
これは4月25日に、PR TIMESのサーバに不審なファイルが配置されていることを検知し調査したところ、4月24日から25日にPR TIMES管理者画面への第三者からの不正アクセスを確認したというもの。
PR TIMES管理者画面に入るには、IPアドレス認証、BASIC認証、ログインパスワード認証を通過する必要があり、コロナ禍のリモート移行時にアクセスを許可するIPアドレスを増やす対応を行っていたが、追加の経緯が不明なIPアドレスが存在し、そのIPアドレスが侵入経路に使われていたという。また、認証には普段使われていない社内管理の共有アカウントが使われていた。
同社では不審なファイルの停止と不正アクセス経路の遮断、パスワード変更などを行なったが、4月27日深夜から4月28日早朝にかけ、攻撃者の設置した不審なプロセスを通した攻撃があったことを確認したため、4月30日に当該プロセスを停止している。
同社ではバックドアの存在が確認されたことに加え、最初に攻撃を開始した国内IPアドレスの後で、Telegram経由の通信が確認され、その後に海外IPアドレスからの攻撃も確認されたことから、アクセス権限が別の攻撃者へ渡った可能性を考え、全ての侵入経路を遮断している。
同社では、攻撃者が閲覧できた範囲の情報に関して全て漏えいのリスクがあったと言わざるを得ず、具体的なログが残っていないため断定できないが、一定の容量のデータ転送が確認されており、また漏えいの可能性を否定できるエビデンスも存在しないことから、管理者画面の保有情報が漏えいした可能性があるとしている。
漏えいの可能性がある個人情報は最大で90万1,603件で、その内訳は下記の通り。
・企業ユーザー:22万7,023件
メールアドレス、氏名、企業ID、所属部署名、電話番号、FAX番号、ハッシュ化されたパスワード
・メディアユーザー:2万8,274件
メールアドレス、氏名、メディア名、メディアURL、所属企業名、所属部署名、企業所在地、電話番号、FAX番号、ハッシュ化されたパスワード
・個人ユーザー:31万3,920件
メールアドレス、氏名、URL(個人ブログ等)、SNSアカウント名、ハッシュ化されたパスワード
・インポートリスト:33万1,619件
メールアドレス、氏名、メディア名、所属企業名、所属部署名、電話番号、FAX番号
・PR TIMESスタッフ:767件
氏名、メールアドレス、登録日、最終ログイン日時、暗号化されたパスワード
また、同社が保有するプレスリリース送信先メディアの編集部デスク等の連絡先(メディアリスト)の情報は最大で2万514件が対象。
その他、4月24日時点で発表予定日時が設定されていたプレスリリース発表前情報は1,182社1,682件。
同社では5月7日に、企業ユーザー、メディアユーザー、個人ユーザーを含む全ての顧客に説明するとともに、安全性を高めるためにパスワード変更を依頼している。
なお同社では、当該不正アクセスが犯罪行為に該当する可能性があるとの認識のもとで、罪証隠滅のおそれを少なくするため、警察への被害申告の後に顧客へのご案内を行う方針でいたため連絡が遅くなったという。
同社では、管理者画面のアクセス許可IPアドレスを社内からの接続とVPNからの接続のみに制限し、攻撃者がアクセスできないようにする対応を実施済みで、今回バックドアファイルが配置された箇所で不正なファイルを実行できないようにする設定の追加を完了している。
同社では現在導入しているWAF(Web Application Firewall)の設定の見直しと、2022年から進めているセキュリティをより担保しやすい新管理者画面への移行を2025年中に予定している。
同社では今後、発表前の重要情報を預かるプラットフォーム運営企業として、より一層のセキュリティ対策と監視体制の強化に努めるとのこと。
編集部おすすめ
![[Black Hat USA 2014レポート] MDM=Mobile Device Mismanagement? ~MDM 製品のペネトレーションテスト結果(NTT Com Security)](http://imgc.eximg.jp/i=https%253A%252F%252Fs.eximg.jp%252Fexnews%252Ffeed%252FScannetsecurity%252F3c%252FScannetsecurity_34759%252FScannetsecurity_34759_1_s.jpg,zoom=360x220,quality=100,type=jpg)
![[USBで録画や再生可能]Tinguポータブルテレビ テレビ小型 14.1インチ 高齢者向け 病院使用可能 大画面 大音量 簡単操作 車中泊 車載用バッグ付き 良い画質 HDMI端子搭載 録画機能 YouTube視聴可能 モバイルバッテリーに対応 AC電源・車載電源に対応 スタンド/吊り下げ/車載の3種類設置 リモコン付き 遠距離操作可能 タイムシフト機能付き 底部ボタン 軽量 (14.1インチ)](https://m.media-amazon.com/images/I/51-Yonm5vZL._SL500_.jpg)