株式会社PR TIMESは7月9日、同社の運営するプレスリリース配信サービス「PR TIMES」の発表前情報へ不正アクセスがあり、公開前の段階でプレスリリース情報が不正に取得されたことが判明したと発表した。
これは5月4日から7月6日にかけて、同社が運営する「PR TIMES」にて、会員企業があらかじめ下書き保存登録したプレスリリースのうち、画像ファイルとドキュメントファイル(PDF)について、外部の特定IPアドレスから不正取得されたというもの。7月5日に、会員企業から同社に発表前情報がSNS投稿されている旨の報告があり、同社で調査したところ、画像一括ダウンロード機能にてプレスリリースの公開状態にかかわらず(非公開、下書き含む)、URL ロジックを推測及び解析することでダウンロード可能な状態になっている仕様を翌7月6日に確認、7月8日にはドキュメントファイル(PDF)ダウンロード機能でも同様の仕様を確認した。
流出したのは、会員企業13社14アカウントのプレスリリース230件に紐づく画像(JPG、PNG、GIF)を内包したzipファイル 230点と、13 社中4社のプレスリリース28件に紐づくドキュメントのPDFファイル28点。
同社では対象の会員企業に対し、個別に謝罪と経過報告の連絡を行う。
また同社では、特定IPアドレスの不正行為についてプロバイダへ申告を行っている。
同社では、本件の原因である画像一括ダウンロード機能とドキュメントファイル(PDF)ダウンロード機能について、公開時のみダウンロードできるよう変更、下書き及び非公開時にはアクセスができない状態へ変更したが、今後はセキュリティを強化した上で利便性も高める機能へ刷新予定。
同社では今後、一連の開発体制において人員を増強しセキュリティホールの存在を迅速に発見できる体制へと強化を行うとともに、開発管理のログ強化を行い、機能実装から時間経過している機能についても定期的に見直しを実施し、更なるセキュリティ強化を行う体制へ変更するとのこと。
これは5月4日から7月6日にかけて、同社が運営する「PR TIMES」にて、会員企業があらかじめ下書き保存登録したプレスリリースのうち、画像ファイルとドキュメントファイル(PDF)について、外部の特定IPアドレスから不正取得されたというもの。7月5日に、会員企業から同社に発表前情報がSNS投稿されている旨の報告があり、同社で調査したところ、画像一括ダウンロード機能にてプレスリリースの公開状態にかかわらず(非公開、下書き含む)、URL ロジックを推測及び解析することでダウンロード可能な状態になっている仕様を翌7月6日に確認、7月8日にはドキュメントファイル(PDF)ダウンロード機能でも同様の仕様を確認した。
流出したのは、会員企業13社14アカウントのプレスリリース230件に紐づく画像(JPG、PNG、GIF)を内包したzipファイル 230点と、13 社中4社のプレスリリース28件に紐づくドキュメントのPDFファイル28点。
同社では対象の会員企業に対し、個別に謝罪と経過報告の連絡を行う。
また同社では、特定IPアドレスの不正行為についてプロバイダへ申告を行っている。
同社では、本件の原因である画像一括ダウンロード機能とドキュメントファイル(PDF)ダウンロード機能について、公開時のみダウンロードできるよう変更、下書き及び非公開時にはアクセスができない状態へ変更したが、今後はセキュリティを強化した上で利便性も高める機能へ刷新予定。
同社では今後、一連の開発体制において人員を増強しセキュリティホールの存在を迅速に発見できる体制へと強化を行うとともに、開発管理のログ強化を行い、機能実装から時間経過している機能についても定期的に見直しを実施し、更なるセキュリティ強化を行う体制へ変更するとのこと。
