パスワードを忘れた? アカウント作成
15345071 story
バグ

PR TIMES、公開状態になっていた発表前のプレスリリース情報が「不正アクセス」を受けたと発表 55

ストーリー by headless
公開 部門より
プレスリリース・ニュースリリース配信サービスの PR TIMES は 9 日、会員企業が下書き保存登録していた発表前のプレスリリース情報が不正に取得されていたことを発表した(プレスリリース: PDF)。

原因は画像一括ダウンロード機能と PDF ダウンロード機能のセキュリティホールで、プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという。7 月 5 日に会員企業から発表前の情報が SNS 投稿されているとの報告を受けて調査を行い、6 日には公開状態でない場合に画像一括ダウンロードができないよう緊急改修が行われている。PDF ダウンロード機能のバグは8日に判明し、URL を予測困難なロジックへ変更する緊急改修を実施したとのこと。

不正に取得されたプレスリリース情報は会員企業 13 社 14 アカウントのプレスリリース 230 件に紐づく画像の ZIP ファイル 230 点と、うち 4 社のプレスリリース 28 件に紐づく PDF ファイル 28 点。「不正取得」は 5 月 4 日 ~ 7 月 6 日に特定の IP アドレスから行われており、プロバイダーにも申告したという。

このような形で情報が取得されることはシステム開発段階では想定していなかったとのことで、今後は人員を増強してセキュリティホールの存在を迅速に発見できる体制へと強化するそうだ。なお、緊急改修は暫定的なものであり、今後はセキュリティを強化しつつ利便性を高める機能に刷新するとのことだ。
  • おそまつ (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2021年07月10日 13時41分 (#4067979)

    > プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという

    不正ではあるけど、あまりに技術力が低いのも問題では

    ここに返信
    • by goldenslamber (49013) on 2021年07月10日 14時26分 (#4068002)

      これって不正にあたるのかな?客観的には、PR TIMESがURLを一般に周知してたか否かの差でしかないよね。

      #逸般人的には周知済みだったのかも

      • by Anonymous Coward on 2021年07月10日 14時47分 (#4068015)

        ランダムな数字何桁かのインデックスみたいなものがついていて適当な推測を元に総当りでアクセスかけた~とかいうなら不正アクセスというか、異常なアクセスと見なされるかもしれないが程度の問題でしょうね
        ○△□社の2021年8月2日発表のプレスリリースのURLは ○△□2021-8-2.html みたいな規則になってたなら、毎日とか一週間ごとにチェックかけるのを不正とはいえないでしょう

        #何故だか分からないけど隠しURLがGoogleさんにバレることもあるので、そのあたりは念を入れて注意するのが常識

    • Re:おそまつ (スコア:2, 参考になる)

      by Anonymous Coward on 2021年07月10日 16時36分 (#4068072)

      https://srad.jp/comment/4068054 [srad.jp] によればただの連番URL。
      連番URLがいくつまであるかわからんときにエラー出るまで一括DLとか普通の操作すぎてどこが不正なんだレベル。
      コマンドシェルでファイルをDLする際の標準的なツールであるwgetもcurlも連番一括DLとか当たり前に搭載してる。

      通行止めにもせずにユーザーが想定通りの順路で歩かなかった事を不正と言われても、その、困る。
      むしろどう歩くことを想定してたかとか知らんのだし……

      • by Anonymous Coward

        とはいえアラートループですら逮捕される世の中だし
        技術者が見たら鼻で笑う事でも法律は認めないって前例は腐るほどあるしなあ

        • by Anonymous Coward

          アラートループは悪戯レベルとはいえ悪意があるけど、
          連番ファイルのダウンロードにはなんの悪意も無いからなぁ……
          指定のブラウザでのリンククリック以外のアクセスを禁止する契約を結んでいたとかならともかく、
          特に明確な契約を結ばずふつーにリンク踏んで連番だったので連番指定でDLした場合、
          それが許されないアクセス方法だと知る手段すら無い。
          誰かがこうして欲しいと思った内容をエスパーして従わなければ違法なんて言われたらどうすりゃいいんだ。

          • by Anonymous Coward

            アラートループを悪意と表現するなら
            非公開のプレスリリースを見ようとURLを連番でGETするのも同じ程度には悪意だろ

            • by Anonymous Coward

              連番で落とす側は何番までが公開済みかもわかんねぇよって話だよ。
              公開済みのを全部一括で取ろうとしたら非公開のまで落ちてきて、
              どこからが非公開なのかも分からんという状況になってしまう。

        • by Anonymous Coward

          まあ、それで「治安」は良くなっても、技術力は下がるんだよな。

          米国では保護者には子供を守る義務があり車などに放置したりすることを法律で禁じている様に、「WEBサーバ管理者の善管注意義務違反」とした方がいい気はするが、ここら辺、どうなんだろう。
          「悪いことをした人が悪い」という考えは防犯意識の欠如を招くと思いませんか。
          公共事業の競争入札でも、入札資料をトイレに行っている間にカメラで盗み撮りされたという、言い訳が通るのなら、まともな入札が成り立たない。
          特殊詐欺被害が無くならない理由のひとつは、防犯意識の欠如にあると思う。(被害者を責めるわけではないが)。(かと言って、一人暮らしの心情を考えるとすぐに相談する相手がいないという問題に行き着くわけで)。総理大臣が、金融機関に防犯指導してくれないかな。

      • by Anonymous Coward

        というか、ふつうのWindows開発者・利用者だって、連番一括ダウンロード機能付きのダウンローダー(フリーソフト)ぐらい必要に応じて使いますよ。
        Irvine [impress.co.jp]とか

        (ごめんなさい。最近はまるっきし使ってないです。SSで保存してます。)

    • by zambia (36932) on 2021年07月10日 14時10分 (#4067991)

      某ソフトウェアのバージョンアップ版をダウンロードするのに、
      本社のリリースで新バージョンのリリース(とバージョン番号)を知る

      日本サイトの公開バージョン(つまり旧バージョン)のダウンロードURLを取得

      URLを改変して最新バージョンを取得
      ということをやっていた時期があった
      (サポート契約中の日本サイトからのみダウンロード可能なため)

      不正アクセスだったのか…

    • by Anonymous Coward

      うちの自治体のワクチン予約サイトも、9時に予約開始なのに、8時59分の時点で非公開のはずの予約サイトのURLが出てきて、
      しかも9時1分時点で半分近く埋まってるとかね。転売ヤーbotもあんな感じで買い占めてるんだろうな。

      #予約できたとはいえ、予定が狂った
      #9時より前にログインしたやつは一旦全部取り消すべき
      # https://vaccines.sciseed.jp/ [sciseed.jp]自治体名と適当な文字列/loginがURLになることを後で知った、しかも65歳以上が先行でやってる場合は推測できる

      • by Anonymous Coward

        予約や投票は公開して1分で死ぬってみんな知らんのかね

      • by Anonymous Coward

        ん?
        コロナ予約サイトは、予約を受け付けていない状態でもいつでもログインできるよ。
        普段は自分の予約状況の確認や予約した接種場所へのアクセスなどの各種情報を案内するサイトとして機能しているから。

        予約受付時間になったら、予約ボタンがONになる仕組み。

        そんなことより、集団接種会場では「ヘルスアミュレット」なるアプリのCMが放送されているのだが、
        公共機関の接種でこれ問題ではないのか。

      • by Anonymous Coward

        そりゃあ、有名バンドであれば東京ドームのチケットが4分でソールドアウトとか普通ですからね。

    • by Anonymous Coward

      ×技術力

      ○馬鹿、無知

  • by dwnhp3nx (35808) on 2021年07月10日 15時19分 (#4068036) 日記

    2013年にもFP技能検定の問題流出がありましたね。
    URLの推測です。
    https://security.srad.jp/story/13/01/29/0926254/ [security.srad.jp]

    ここに返信
  • by Anonymous Coward on 2021年07月10日 14時25分 (#4067999)

    一般公開されていないとどうやって判断するのかと。
    ※という意味ではわきが甘いと思う

    ここに返信
    • もうみんな忘れたかもしれないけど、office氏の裁判がまさにそれじゃありませんでしたっけ?(違法性認定)
      https://m.srad.jp/story/05/03/25/0423214 [m.srad.jp]
      • by Anonymous Coward

        office氏の判決的に、今回のは合法っぽい気がする
        URL入力で済むし

        > 本件においては、本件CGIファイルおよび本件ログファイルのURLを入力する方法によっては、これらを閲覧することができないように設定されていた。他方、本件アクセスは、本件CGIの脆弱性を利用したものであり、あえてその方法を管理者が認める必要はなく、想定もしていなかったものである。

    • by Anonymous Coward

      PR TIMESってプレスリリースを出すのを商売にしているみたいなので、このタレコミのプレスリリースがPDFだったので、都合の悪いことはPDFなのね~と言いたいと思ったけど、PDFとは別にPR TIMESのシステムを作って作ったプレスリリースがあるかなと思って、ホームページに行ったのよね。

      そして今回のプレスリリース探したんだけど、ホームページからは見つけられなかった。
      何がいいたいかというと、このタレコミのプレスリリースのPDFって、ないとは思うけど、一般公開されていなかったらどうしょうと思ったんだよね。
      だって、今回の話は公開予定日の前に公開されたって話なので。

      • by Anonymous Coward

        そして今回のプレスリリース探したんだけど、ホームページからは見つけられなかった。
        何がいいたいかというと、このタレコミのプレスリリースのPDFって、ないとは思うけど、一般公開されていなかったらどうしょうと思ったんだよね。

        https://prtimes.jp/ [prtimes.jp] の『PR TIMESからのお知らせ』の『【お詫び】PR TIMES発表前情報への不正アクセスに関するお詫びとご報告』からリンクされています。

        • by Anonymous Coward

          ありがとう。
          これで、安心だ。

  • by Anonymous Coward on 2021年07月10日 14時25分 (#4068000)
    • 不正アクセス禁止法
    • 不正競争防止法
    • その他不法行為による権利の侵害

    どれに該当するのっと教えてえろい人!

    ここに返信
    • by Anonymous Coward on 2021年07月10日 14時42分 (#4068013)

      公開してるから著作権法違反

      不正アクセス禁止法には当たらない可能性が高い(告訴される可能性あるけど裁判では無罪になる可能性が高い)
      https://www.bengo4.com/c_1009/b_515004/ [bengo4.com]

    • by Anonymous Coward

      また、特定IPアドレスの不正行為についてプロバイダへ申告いたしました。もし今後の継続調査により新たに過去の不正取得が判明した場合には申告するとともに、不正行為については会員企業様と連携して断固たる措置をとる考えです。

      https://prtimes.jp/common/file/20210709_PRTIMES_incident.pdf [prtimes.jp]

      断固たる措置の内容によるんじゃないかな。
      PR TIMES側がどう考えてるかは。

      • by Anonymous Coward on 2021年07月10日 15時27分 (#4068039)

        違法性がないのに申告されたってプロバイダも困惑するだけだろ……

        • by Anonymous Coward

          公表権の侵害(著作権法違反)は確実だけど、それで実際にプロバイダ経由で警告されたって話は聞いたことないな
          掲示板荒らしで警告来たってのは聞いたことあるけど

          • by Anonymous Coward

            そもそも「お前俺んちの開けっ放しにしてる窓から部屋覗いたろ」って状況で警告する方がおかしい

          • by Anonymous Coward

            業務妨害の筋はどうですかね。

        • by Anonymous Coward

          著作権者の承諾なしに文書を公開するのは違法性がないとでも?
          アクセスログ根拠で令状は取れると思うぞ

          • by Anonymous Coward on 2021年07月10日 16時23分 (#4068064)

            公開したのはPRタイムズ側では

            • by Anonymous Coward

              つまり著作権法違反に問われる可能性がある?

              • by Anonymous Coward

                どうだろ、すくなくとも PR タイムズは、過失責任はあるだろう。
                古典的なセキュリティホール。(技術的というよりも運用上のミス(セキュリティホール)だけど。)

          • by Anonymous Coward

            しかし、PR TIMES側のログだけでは、閲覧したIPアドレスはわかっても、プレスリリースを公開したユーザが誰かは特定できないと思うぞ。

            可能性だけをいえば、アクセスした人間と公開した人間は別かもしれんし。

        • by Anonymous Coward

          ベネッセの例もあるし、「このipアドレスからハッキングがあって公開前のpdfが流出した」と言われてもプロバイダがちゃんと精査するでしょ と安心はとても出来ない
          https://masatokinugawa.l0.cm/2013/09/xss.benesse.html [l0.cm]

      • by Anonymous Coward

        不正行為については断固たる措置を取る!

        ただし今回の件が実際に不正行為に該当するか
        断固たる措置に具体的行為が含まれるかについては
        お答えできない…

  • by Anonymous Coward on 2021年07月10日 18時46分 (#4068147)

    私が管理してるwebサーバーに favicon.ico へのアクセスログが残って不快です
    そんなファイルは置いてないのに

    ここに返信
  • by Anonymous Coward on 2021年07月10日 19時53分 (#4068184)

    これ、むしろPR TIMESのほうが会員各社から無断で公開するな賠償しろ!って訴えられるケースなのでは。

    ここに返信
    • by Anonymous Coward

      本件はPR TIMESと「不正取得」者との関係
      貴方が言っているのはPR TIMESと会員各社の関係

      それがあったとしても別問題です。

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...