PR TIMESは5月7日、プレスリリース配信サービス「PR TIMES」において、4月24日より第三者によるサーバー内部への不正アクセスとサイバー攻撃が行われたことを確認し、個人情報と発表前プレスリリース情報を中心とする保有情報が漏えいした可能性があることを発表した。なお、不正アクセス経路は既に遮断しており、攻撃者による不審な操作やプロセスは停止できているという。
同社の発表によると、4月25日にPR TIMESのサーバーに不審なファイルが配置されていることを検知し、調査したところ、4月24日~25日にPR TIMES管理者画面へ第三者による不正アクセスが行われていたことが認められたとしている。PR TIMES管理者画面に入るには、IPアドレス認証、BASIC認証、ログインパスワード認証を通過する必要があるが、コロナ禍のリモート移行時にアクセスを許可するIPアドレスを増やしており、追加の経緯が不明のIPアドレスが存在し、そのIPアドレスが侵入経路に使われたという。また、認証には普段使われていない社内管理の共有アカウントが使用されていた。
不審なファイルの停止、不正アクセス経路の遮断とパスワード変更などを行ったが、4月27日深夜から4月28日早朝にかけ、攻撃者の設置した不審なプロセスを通した攻撃があったことを確認し、4月30日に当該プロセスを停止。バックドア(攻撃者が初期侵入で生成した、システム内に不正侵入するための裏口)が確認されたほか、最初に攻撃を開始した国内IPアドレスの後でTelegram経由の通信が確認され、その後に海外IPアドレスからの攻撃も確認されたことから、アクセス権限が別の攻撃者へ渡った可能性も考えられ、それらの侵入経路もすべて遮断したという。
いずれのプロセスもサービス運営に影響はなく、顧客とシステムの実被害は確認も報告もされていないとしている。
漏えいの可能性がある情報の範囲として同社は、個人情報は最大で90万1603件、企業ユーザー22万7023件、メディアユーザー2万8274件、個人ユーザー31万3920件、インポートリスト(企業ユーザーが保有するプレスリリース送信先メディアの連絡先)33万1619件、当社スタッフ767件にのぼるとした。同社は対象ユーザーにパスワードの変更を呼び掛けている。
再発防止策としてPR TIMESは、管理者画面のアクセス許可IPアドレスを、社内からの接続とVPNからの接続のみに制限し、攻撃者がアクセスできないようにする対応を実施。また、今回バックドアファイルが配置された箇所で、不正なファイルを実行できないようにする設定の追加を完了しているとした。また、現在導入しているWAF(Web Application Firewall)の設定の見直しと、共有アカウントの利用ができなくなる「新管理者画面」への移行を2025年中に予定しているとした。
経緯
- 4月8日~9日:攻撃者による偵察と推察される不正アクセス(後日調査により判明)
- 4月24日~25日:攻撃者による不正アクセスと不審な操作実行、バックドア設置とアクセス
- 4月25日:同社で不審なファイルを検知し停止、調査を開始、特定IPアドレスのアクセスを遮断
- 4月27日~28日:攻撃者による残存プロセスの実行
- 4月28日:同社と外部専門機関で残存プロセスを特定し停止、アクセス遮断をさらに厳格化
- 4月28日~5月2日:同社と外部専門機関で影響範囲の調査
- 5月2日:所轄警察署へ被害相談、個人情報保護委員会とJIPDECへ速報を報告
- 5月7日:所轄警察署へサイバー攻撃の被害を申告、事件相談として受理
- 5月7日:顧客への連絡、本情報を開示
【関連記事】
・IIJ、メールセキュリティサービスで顧客情報の一部が外部漏えい 最大で6,493契約が対象
・24年の個人情報漏えいは約2164万件 業種は卸・小売業が最多──サイバーセキュリティクラウド調査
・日本企業が優先的に対処すべきリスク1位「人材流出」、2位に「情報漏えい」──デロイト トーマツ調査