企業向け広報サービス「PR TIMES」、90万件超漏えいか　コロナ禍で緩和したIPアドレス認証が侵入経路に

　会員企業の報道資料を配信するサービス「PR TIMES」を運営するPR TIMES社（東京都港区）は5月7日、不正アクセスにより90万件超の情報が漏えいした可能性があると発表した。コロナ禍でのリモートワーク実施に伴い緩和したIPアドレス認証が侵入経路になり、攻撃につながったという。

【その他の画像】

　漏えいした可能性がある情報は90万1603件。内訳は、企業ユーザーの情報が22万7023件、メディアユーザーの情報が2万8274件、個人ユーザーの情報が31万3920件、企業ユーザーが持つ、報道資料の送信先メディアの連絡先などが33万1619件、PR TIMES社スタッフの情報が767件。それぞれメールアドレスや氏名、SNSアカウント名、電話番号、所属企業名、ハッシュ化されたパスワードなどが漏えいした可能性がある。いずれもクレジットカード情報や銀行口座番号は含まない。

　さらに、4月24日時点で公開設定がなされていた発表前情報（1182社1682件）や、PR TIMES社が保有するメディアの連絡先2万514件も漏えいした可能性がある。ただし、サービスの提供に大きな影響はないという。

　4月25日にサーバ内に不審なファイルを発見したため調査したところ、24日〜25日に管理者画面に不正アクセスされていたことが分かった。侵入経路については「PR TIMESの管理者画面に入るには、IPアドレス認証、BASIC認証、ログインパスワード認証を通過する必要がある。コロナ禍のリモート移行時にアクセスを許可するIPアドレスを増やす対応を行ったが、追加した経緯が不明のIPアドレスが存在し、侵入経路に使われていた。また、認証には普段使われていない社内管理の共有アカウントが使われていた」（同社）という。

　その後不正アクセス経路の遮断などを行ったが、27日深夜から28日早朝にかけて再度攻撃を検知。攻撃は30日までに停止したが、これをきっかけに攻撃者が24日〜25日の侵入で生成したバックドアを確認した。さらに、最初に攻撃を開始した国内IPアドレスとは別に、Telegram経由の通信を確認。その後に海外IPアドレスからの攻撃もあったといい「アクセス権限が別の攻撃者へ渡った可能性も考えられる」としている。

　被害については「攻撃者が閲覧できた範囲の情報に関しては全て漏えいのリスクがあったと言わざるを得ない。具体的なログが残されていないために断定はできないが、一定の容量のデータ転送が確認されており、また漏えいの可能性を否定できるエビデンスも存在しないことから、管理者画面の保有情報が漏えいした可能性があると考えられる」（同社）

　個人情報保護委員会や警察には相談済みで、アクセスを許可するIPアドレスは改めて整理した。今後はメディアユーザーや企業ユーザーなどへの説明を進めるという。

　再発防止策としては（1）「管理者画面のアクセス許可IPアドレスを、社内からの接続とVPからの接続のみに制限」、（2）バックドアが配置された箇所で、不正なファイルを実行できないようにする設定の追加、（3）現在導入しているWAFの設定の見直し──に取り組む。また、2022年から進めている新しい管理者画面への移行が25年中に完了する見込みで、実現すれば共有アカウントの利用は無くなる予定という。