目次

  1. 情報漏洩した可能性のある個人情報・発表前リリース
    1. 企業ユーザー(22万7023件)
    2. メディアユーザー(2万8274件)
    3. 個人ユーザー(31万3920件)
    4. インポートリスト(33万1619件)
    5. PR TIMESスタッフ(767件)
  2. PR TIMESへの不正アクセスの経緯
  3. PR TIMESの対策

 PR TIMESのプレスリリースによると、情報漏洩の可能性のある個人情報は最大で90万1603件あり、企業ユーザー22万7023件、メディアユーザー2万8274件、個人ユーザー31万3920件、インポートリスト(企業ユーザーが保有するプレスリリース送信先メディアの連絡先)33万1619件、PR TIMESスタッフ767件が対象です。攻撃者が閲覧できた情報としては、事前登録されていた発表前プレスリリース情報も含まれます。

 それぞれ個人情報に該当する情報は以下の通りです。銀行口座番号、クレジットカード情報等の決済関連情報は含まれていなかったといいます。利用者には、パスワード変更依頼のメールが届いており、筆者にも届きました。

 メールアドレス、氏名、企業 ID、所属部署名、電話番号、FAX番号、ハッシュ化されたパスワード(不可逆変換されランダムで復号困難な状態)

 メールアドレス、氏名、メディア名、メディア URL、所属企業名、所属部署名、企業所在地、電話番号、FAX番号、ハッシュ化されたパスワード(不可逆変換されランダムで復号困難な状態)

 メールアドレス、氏名、URL(個人ブログ等)、SNSアカウント名、ハッシュ化されたパスワード(不可逆変換されランダムで復号困難な状態)

 メールアドレス、氏名、メディア名、所属企業名、所属部署名、電話番号、FAX番号

 氏名、メールアドレス、登録日、最終ログイン日時、暗号化されたパスワード

 2025年4月25日にPR TIMESのサーバーに不審なファイルが配置されていることを検知し、調べたところ、4月24日~25日にPR TIMES管理者画面へ第三者による不正アクセスがあったことがわかりました。

 PR TIMES管理者画面に入るには、IPアドレス認証、BASIC認証、ログインパスワード認証を通過する必要があります。コロナ禍のリモート移行時にアクセスを許可するIPアドレスを増やす対応を行いましたが、追加の経緯が不明のIPアドレスが存在し、そのIPアドレスが侵入経路に使われていました。また、認証には普段使われていない社内管理の共有アカウントが使われていました。

 不審なファイルの停止、不正アクセス経路の遮断とパスワード変更後も、4月27日深夜から4月28日早朝にかけ、攻撃者の設置した不審なプロセスを通した攻撃があったことを確認し、4月30日にこのプロセスを停止しました。

 攻撃者が初期侵入で生成した、システム内に不正侵入するための裏口「バックドア」が見つかり、最初に攻撃を開始した国内IPアドレスの後で、Telegram経由の通信が確認され、その後に海外IPアドレスからの攻撃も確認されたことから、アクセス権限が別の攻撃者へ渡った可能性も考えられ、それらの侵入経路も遮断したといいます。

 PR TIMESは「攻撃者が閲覧できた範囲の情報に関してはすべて漏えいのリスクがあったと言わざるを得ず、具体的なログが残されていないために断定はできませんが、一定の容量のデータ転送が確認されており、また漏えいの可能性を否定できるエビデンスも存在しないことから、管理者画面の保有情報が漏えいした可能性があると考えられます」と説明しています。

 PR TIMESは「発表前の重要情報を預かるプラットフォーム運営企業として、より一層のセキュリティ対策と監視体制の強化に努める」とコメントしています。

 また、再発防止策として、管理者画面のアクセス許可IPアドレスを社内からの接続とVPNからの接続のみに制限し、不正なファイルを実行できないようにしたといいます。さらに、よりセキュリティを担保しやすい新管理者画面への移行を2025年中に予定しています。