PR TIMES、自分の不正アクセスによる情報漏えいの可能性に関するお詫びとご報告をPR TIMES上でPRするハメに。

PR TIMES、自分の不正アクセスによる情報漏えいの可能性に関するお詫びとご報告をPR TIMES上でPRするハメに。

プレス配信大手の株式会社PR TIMESですが、不正アクセス攻撃にあい、情報漏えいの可能性を
自社サイトにてPRすることとなりました。悲しいなぁ・・・

2025年4月25日にPR TIMESのサーバーに不審なファイルが配置されていることを検知し、調査したところ、4月24日～25日にPR TIMES管理者画面へ第三者による不正アクセスが行われていたことが認められました。PR TIMES管理者画面に入るには、IPアドレス認証、BASIC認証、ログインパスワード認証を通過する必要があります。コロナ禍のリモート移行時にアクセスを許可するIPアドレスを増やす対応を行いましたが、追加の経緯が不明のIPアドレスが存在し、そのIPアドレスが侵入経路に使われていました。また、認証には普段使われていない社内管理の共有アカウントが使われていました。

不審なファイルの停止、不正アクセス経路の遮断とパスワード変更などを行いましたが、4月27日深夜から4月28日早朝にかけ、攻撃者の設置した不審なプロセスを通した攻撃があったことを確認し、4月30日に当該プロセスを停止しました。バックドア（攻撃者が初期侵入で生成した、システム内に不正侵入するための裏口）の存在が確認されたことに加え、最初に攻撃を開始した国内IPアドレスの後で、Telegram経由の通信が確認され、その後に海外IPアドレスからの攻撃も確認されたことから、アクセス権限が別の攻撃者へ渡った可能性も考えられ、それらの侵入経路も全て遮断しました。

いずれのプロセスもサービス運営に影響はなく、お客様とシステムの実被害は確認も報告もされていません（既に復元済みの、本件と関連性が疑われる軽微な差異を除きます）。

しかしながら、攻撃者が閲覧できた範囲の情報に関しては全て漏えいのリスクがあったと言わざるを得ず、具体的なログが残されていないために断定はできませんが、一定の容量のデータ転送が確認されており、また漏えいの可能性を否定できるエビデンスも存在しないことから、管理者画面の保有情報が漏えいした可能性があると考えられます。
PR TIMES、不正アクセスによる情報漏えいの可能性に関するお詫びとご報告 | 株式会社PR TIMESのプレスリリース

コロナ禍でリモートワークが主体となった時にとりあえずIPアドレスが追加され、その後も
「誰が使ってるかよくわからんけど、とりあえず残しとこ」とそのまま棚卸しされずに放置されていたはずの
IPアドレスから攻撃を食らったそうな。

また、普段は使っていないはずの管理用アカウントが使われたり、バックドアも確認されたとのこと。

こういったところを地道に塞ぐ努力はやはり大切ですね。

明日は我が身かも、ということで地道にセキュリティ対策をしましょう。

個人としても、パスワードの使い回しなんてもってのほかですからね。