PR TIMESは7月9日、プレスリリース配信サービス「PR TIMES」において、会員企業発表前(当時)の段階にある画像ファイルとドキュメントファイル(PDF)について、外部の特定IPアドレスから不正に取得されていたことを確認したと発表した(PDF)。期間は2021年5月4日~7月6日。金融商品取引法上の重要事実に該当するものは現在まで確認されていないとしている。これらの不正取得については、該当する会員企業に個別にお詫びと経過報告を行っている。
画像データについては、会員企業13社14アカウントのプレスリリース230件に紐づく画像のzipファイル230点の不正取得をアクセスログにおいて確認した。またドキュメントファイルについては、前述13社に含まれる会員企業4社のプレスリリース28件に紐づくドキュメントのPDFファイル28点の不正取得を確認した。
・会員企業13社14アカウントのプレスリリース230件に紐づく画像(JPG/PNG/GIF)を内包したzipファイル230点
・前述13社に含まれる会員企業4社のプレスリリース28件に紐づくドキュメントのPDFファイル28点
また現在、前述特定IPアドレスによる不正取得以外にも不正取得が行われていたかの調査を進めているという。画像ファイルとドキュメントファイルの取得アクセスログは特定できているものの、その中には正規の取得ログも多く存在するため、不正取得にあたるログが他にもあるか否かについて精査を続けている。現時点までに判明した事実について報告するとともに、今後新たな事実が判明した場合には速やかに公開するとしている。
今回の不正取得は、発表前情報の取り扱いにおける機能面でのセキュリティホールにより許してしまったものしている。今回の対応に関しては、原因箇所である画像一括ダウンロード機能とドキュメントファイル(PDF)ダウンロード機能について、公開時のみダウンロードできるように変更したことで、下書きおよび非公開時にはアクセスができない状態へ変更した。なお同対応は一時的な対応であり、今後はセキュリティ強化した上で利便性も高める機能へ刷新する。
システム開発段階では想定しなかった画像一括ダウンロード機能とドキュメントファイル(PDF)ダウ
ンロード機能の不正利用により、発表前情報の取得が行われたものであり、今後は、一連の開発体制に
おいて人員を増強し、仕様設計およびコードレビュー、QA等を漏れなく実行し、セキュリティホールの存在を迅速に発見できる体制へと強化する。開発管理のログ強化も行い、機能実装から時間経過している機能についても定期的に見直しをして、さらなるセキュリティ強化を行う体制へ変更するという。
また、特定IPアドレスの不正行為についてプロバイダーにへ申告。もし今後の継続調査により新たに過去の不正取得が判明した場合には、申告とともに不正行為について会員企業と連携して断固たる措置をとるとしている。
関連記事
・マッチングアプリ「Omiai」が退会会員含め171万件の年齢確認書類への不正アクセス公表、運転免許証・健康保険証・パスポート・マイナンバーカード
・個人情報最大677万件が漏洩、イベント管理・チケット販売の「Peatix」が不正アクセス受ける
・富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査
・「バイオハザード」のカプコンがランサムウェア感染し、データ漏洩