PR TIMES、公開状態になっていた発表前のプレスリリース情報が「不正アクセス」を受けたと発表 55
ストーリー by headless
公開 部門より
公開 部門より
プレスリリース・ニュースリリース配信サービスの PR TIMES は 9 日、会員企業が下書き保存登録していた発表前のプレスリリース情報が不正に取得されていたことを発表した(プレスリリース: PDF)。
原因は画像一括ダウンロード機能と PDF ダウンロード機能のセキュリティホールで、プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという。7 月 5 日に会員企業から発表前の情報が SNS 投稿されているとの報告を受けて調査を行い、6 日には公開状態でない場合に画像一括ダウンロードができないよう緊急改修が行われている。PDF ダウンロード機能のバグは8日に判明し、URL を予測困難なロジックへ変更する緊急改修を実施したとのこと。
不正に取得されたプレスリリース情報は会員企業 13 社 14 アカウントのプレスリリース 230 件に紐づく画像の ZIP ファイル 230 点と、うち 4 社のプレスリリース 28 件に紐づく PDF ファイル 28 点。「不正取得」は 5 月 4 日 ~ 7 月 6 日に特定の IP アドレスから行われており、プロバイダーにも申告したという。
このような形で情報が取得されることはシステム開発段階では想定していなかったとのことで、今後は人員を増強してセキュリティホールの存在を迅速に発見できる体制へと強化するそうだ。なお、緊急改修は暫定的なものであり、今後はセキュリティを強化しつつ利便性を高める機能に刷新するとのことだ。
原因は画像一括ダウンロード機能と PDF ダウンロード機能のセキュリティホールで、プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという。7 月 5 日に会員企業から発表前の情報が SNS 投稿されているとの報告を受けて調査を行い、6 日には公開状態でない場合に画像一括ダウンロードができないよう緊急改修が行われている。PDF ダウンロード機能のバグは8日に判明し、URL を予測困難なロジックへ変更する緊急改修を実施したとのこと。
不正に取得されたプレスリリース情報は会員企業 13 社 14 アカウントのプレスリリース 230 件に紐づく画像の ZIP ファイル 230 点と、うち 4 社のプレスリリース 28 件に紐づく PDF ファイル 28 点。「不正取得」は 5 月 4 日 ~ 7 月 6 日に特定の IP アドレスから行われており、プロバイダーにも申告したという。
このような形で情報が取得されることはシステム開発段階では想定していなかったとのことで、今後は人員を増強してセキュリティホールの存在を迅速に発見できる体制へと強化するそうだ。なお、緊急改修は暫定的なものであり、今後はセキュリティを強化しつつ利便性を高める機能に刷新するとのことだ。