PR TIMES、会員企業のプレスリリース情報が発表前に不正取得および流出
- 元記事:PR TIMES 発表前情報への不正アクセスに関するお詫びとご報告
- 元記事:PR TIMES発表前情報への不正アクセスに関する調査結果のご報告とお詫び(詳報)
- HP:株式会社 PR TIMES
発表日時2021/7/9
PR TIMESにて会員企業のプレスリリース情報が発表前に不正取得および流出。同社にて、会員企業 13 社 14 アカウントのプレスリリース 230 件に紐づく画像の zip ファイル 230 点および、 内 4 社のプレスリリース 28 件に紐づくドキュメントの PDF ファイル 28 点を、プレスリリース配信前にあらかじめ下書き保存登録していたが、外部の特定 IP アドレスから 2021 年 5 月 4 日から7 月 6 日の期間中に、発表前の段階で不正に取得され、 SNS 投稿されていた。
会員企業から発表前情報が SNS 投稿されている事象報告を受け、流出元調査への協力依頼を行うとともに同社でも調査を開始。調査の結果、画像一括ダウンロード機能およびドキュメントファイルダウンロード機能において、プレスリリースの公開状態に関わらず、URL ロジックを推測および解析することでダウンロードが可能な状態になっている仕様が確認され、アクセスログの調査により、プレスリリースにおいて、画像一括ダウンロードへのアクセスが行われ、画像ファイルを不正にダウンロードされていた履歴を1件確認し、IPアドレスを特定したため、当該IPアドレスのアクセスログ履歴を抽出したところ、13 社 14 アカウントへも同 IP アドレスからロジック解析によるアクセスが実施されていたことが確認された。同社は、画像一括ダウンロード機能に紐づくプレスリリースの公開状態を確認し、下書きおよび非公開時には画像一括ダウンロード不可に、ドキュメントファイルダウンロード機能において発行される URL を予測困難なロジックへ変更する緊急改修を行ったが、一時的な対応であるため、今後はセキュリティ強化した上で利便性も高める機能へ刷新するとしている。
同社は、システム開発段階では想定しなかった画像一括ダウンロード機能とドキュメントファイルダウンロード機能の不正利用が原因であるとし、特定 IP アドレスの不正行為についてプロバイダへ申告を行うとともに、当該企業に対してお詫びと説明を行った。
会員企業のプレスリリース情報が発表前に不正取得され流出した件で、調査を行った調査結果を公表した。当初、特定IPアドレス1件から画像zipファイル230点、ドキュメントファイル28点が不正取得されたとしていたが、その後の調査の結果、さらに96件のIPアドレスから画像zipファイル636点、ドキュメントファイル63点が不正取得され、合計で画像zipファイル866点とドキュメントファイル91点の流出が判明した。今回の流出は機能面でのセキュリティホールが原因で、該当箇所を発見後、早急にシステム改修を行った。システム改修後は情報の不正取得は確認されていない。なお、今回不正取得された情報に金融商品取引法上の重要事実に該当するものは確認されず、会員情報の流出も確認されなかった。今後セキュリティ強化のための開発体制の構築および品質管理の実施、基盤システムのアップデートや定期的なリファクタリング等を行い、システム改善を継続して行うとしている。(2021年9月22日追加)
