PR TIMES、公開状態になっていた発表前のプレスリリース情報が「不正アクセス」を受けたと発表 55
ストーリー by headless
公開 部門より
公開 部門より
プレスリリース・ニュースリリース配信サービスの PR TIMES は 9 日、会員企業が下書き保存登録していた発表前のプレスリリース情報が不正に取得されていたことを発表した(プレスリリース: PDF)。
原因は画像一括ダウンロード機能と PDF ダウンロード機能のセキュリティホールで、プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという。7 月 5 日に会員企業から発表前の情報が SNS 投稿されているとの報告を受けて調査を行い、6 日には公開状態でない場合に画像一括ダウンロードができないよう緊急改修が行われている。PDF ダウンロード機能のバグは8日に判明し、URL を予測困難なロジックへ変更する緊急改修を実施したとのこと。
不正に取得されたプレスリリース情報は会員企業 13 社 14 アカウントのプレスリリース 230 件に紐づく画像の ZIP ファイル 230 点と、うち 4 社のプレスリリース 28 件に紐づく PDF ファイル 28 点。「不正取得」は 5 月 4 日 ~ 7 月 6 日に特定の IP アドレスから行われており、プロバイダーにも申告したという。
このような形で情報が取得されることはシステム開発段階では想定していなかったとのことで、今後は人員を増強してセキュリティホールの存在を迅速に発見できる体制へと強化するそうだ。なお、緊急改修は暫定的なものであり、今後はセキュリティを強化しつつ利便性を高める機能に刷新するとのことだ。
原因は画像一括ダウンロード機能と PDF ダウンロード機能のセキュリティホールで、プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという。7 月 5 日に会員企業から発表前の情報が SNS 投稿されているとの報告を受けて調査を行い、6 日には公開状態でない場合に画像一括ダウンロードができないよう緊急改修が行われている。PDF ダウンロード機能のバグは8日に判明し、URL を予測困難なロジックへ変更する緊急改修を実施したとのこと。
不正に取得されたプレスリリース情報は会員企業 13 社 14 アカウントのプレスリリース 230 件に紐づく画像の ZIP ファイル 230 点と、うち 4 社のプレスリリース 28 件に紐づく PDF ファイル 28 点。「不正取得」は 5 月 4 日 ~ 7 月 6 日に特定の IP アドレスから行われており、プロバイダーにも申告したという。
このような形で情報が取得されることはシステム開発段階では想定していなかったとのことで、今後は人員を増強してセキュリティホールの存在を迅速に発見できる体制へと強化するそうだ。なお、緊急改修は暫定的なものであり、今後はセキュリティを強化しつつ利便性を高める機能に刷新するとのことだ。
おそまつ (スコア:2, すばらしい洞察)
> プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという
不正ではあるけど、あまりに技術力が低いのも問題では
Re:おそまつ (スコア:2)
これって不正にあたるのかな?客観的には、PR TIMESがURLを一般に周知してたか否かの差でしかないよね。
#逸般人的には周知済みだったのかも
Re:おそまつ (スコア:1)
ランダムな数字何桁かのインデックスみたいなものがついていて適当な推測を元に総当りでアクセスかけた~とかいうなら不正アクセスというか、異常なアクセスと見なされるかもしれないが程度の問題でしょうね
○△□社の2021年8月2日発表のプレスリリースのURLは ○△□2021-8-2.html みたいな規則になってたなら、毎日とか一週間ごとにチェックかけるのを不正とはいえないでしょう
#何故だか分からないけど隠しURLがGoogleさんにバレることもあるので、そのあたりは念を入れて注意するのが常識
Re:おそまつ (スコア:1)
グレーゾーンが残ってると応用が利きそう。
今後の株価に影響する内容のプレスリリースをそれなりに総当たりすればヒットするようなURLで置いておいて、便宜を図りたい相手が何かしかけてくる分には放置しつつ、そうじゃない余所様が覗きに来たら訴えるとか。
Re:おそまつ (スコア:1)
https://twitter.com/cheenanet/status/1413483229831516161/photo/1 [twitter.com] によると、画像一括ダウンロードのURLパラメータはcompany_id=[数字3桁]とrelease_id=[数字3桁]がキーになっていて、インクリメントされた数字っぽい感じがする
Re:おそまつ (スコア:2, 参考になる)
https://srad.jp/comment/4068054 [srad.jp] によればただの連番URL。
連番URLがいくつまであるかわからんときにエラー出るまで一括DLとか普通の操作すぎてどこが不正なんだレベル。
コマンドシェルでファイルをDLする際の標準的なツールであるwgetもcurlも連番一括DLとか当たり前に搭載してる。
通行止めにもせずにユーザーが想定通りの順路で歩かなかった事を不正と言われても、その、困る。
むしろどう歩くことを想定してたかとか知らんのだし……
Re: (スコア:0)
とはいえアラートループですら逮捕される世の中だし
技術者が見たら鼻で笑う事でも法律は認めないって前例は腐るほどあるしなあ
Re: (スコア:0)
アラートループは悪戯レベルとはいえ悪意があるけど、
連番ファイルのダウンロードにはなんの悪意も無いからなぁ……
指定のブラウザでのリンククリック以外のアクセスを禁止する契約を結んでいたとかならともかく、
特に明確な契約を結ばずふつーにリンク踏んで連番だったので連番指定でDLした場合、
それが許されないアクセス方法だと知る手段すら無い。
誰かがこうして欲しいと思った内容をエスパーして従わなければ違法なんて言われたらどうすりゃいいんだ。
Re: (スコア:0)
アラートループを悪意と表現するなら
非公開のプレスリリースを見ようとURLを連番でGETするのも同じ程度には悪意だろ
Re: (スコア:0)
連番で落とす側は何番までが公開済みかもわかんねぇよって話だよ。
公開済みのを全部一括で取ろうとしたら非公開のまで落ちてきて、
どこからが非公開なのかも分からんという状況になってしまう。
Re: (スコア:0)
まあ、それで「治安」は良くなっても、技術力は下がるんだよな。
米国では保護者には子供を守る義務があり車などに放置したりすることを法律で禁じている様に、「WEBサーバ管理者の善管注意義務違反」とした方がいい気はするが、ここら辺、どうなんだろう。
「悪いことをした人が悪い」という考えは防犯意識の欠如を招くと思いませんか。
公共事業の競争入札でも、入札資料をトイレに行っている間にカメラで盗み撮りされたという、言い訳が通るのなら、まともな入札が成り立たない。
特殊詐欺被害が無くならない理由のひとつは、防犯意識の欠如にあると思う。(被害者を責めるわけではないが)。(かと言って、一人暮らしの心情を考えるとすぐに相談する相手がいないという問題に行き着くわけで)。総理大臣が、金融機関に防犯指導してくれないかな。
Re: (スコア:0)
というか、ふつうのWindows開発者・利用者だって、連番一括ダウンロード機能付きのダウンローダー(フリーソフト)ぐらい必要に応じて使いますよ。
Irvine [impress.co.jp]とか
(ごめんなさい。最近はまるっきし使ってないです。SSで保存してます。)
Re:おそまつ (スコア:1)
某ソフトウェアのバージョンアップ版をダウンロードするのに、
本社のリリースで新バージョンのリリース(とバージョン番号)を知る
↓
日本サイトの公開バージョン(つまり旧バージョン)のダウンロードURLを取得
↓
URLを改変して最新バージョンを取得
ということをやっていた時期があった
(サポート契約中の日本サイトからのみダウンロード可能なため)
不正アクセスだったのか…
Re: (スコア:0)
うちの自治体のワクチン予約サイトも、9時に予約開始なのに、8時59分の時点で非公開のはずの予約サイトのURLが出てきて、
しかも9時1分時点で半分近く埋まってるとかね。転売ヤーbotもあんな感じで買い占めてるんだろうな。
#予約できたとはいえ、予定が狂った
#9時より前にログインしたやつは一旦全部取り消すべき
# https://vaccines.sciseed.jp/ [sciseed.jp]自治体名と適当な文字列/loginがURLになることを後で知った、しかも65歳以上が先行でやってる場合は推測できる
Re: (スコア:0)
予約や投票は公開して1分で死ぬってみんな知らんのかね
Re: (スコア:0)
ん?
コロナ予約サイトは、予約を受け付けていない状態でもいつでもログインできるよ。
普段は自分の予約状況の確認や予約した接種場所へのアクセスなどの各種情報を案内するサイトとして機能しているから。
予約受付時間になったら、予約ボタンがONになる仕組み。
そんなことより、集団接種会場では「ヘルスアミュレット」なるアプリのCMが放送されているのだが、
公共機関の接種でこれ問題ではないのか。
Re: (スコア:0)
そりゃあ、有名バンドであれば東京ドームのチケットが4分でソールドアウトとか普通ですからね。
Re: (スコア:0)
×技術力
○馬鹿、無知
同件 (スコア:2)
2013年にもFP技能検定の問題流出がありましたね。
URLの推測です。
https://security.srad.jp/story/13/01/29/0926254/ [security.srad.jp]
ノーパスワードでも不正アクセス成立したっけ? (スコア:1)
一般公開されていないとどうやって判断するのかと。
※という意味ではわきが甘いと思う
Re:ノーパスワードでも不正アクセス成立したっけ? (スコア:2)
https://m.srad.jp/story/05/03/25/0423214 [m.srad.jp]
Re: (スコア:0)
office氏の判決的に、今回のは合法っぽい気がする
URL入力で済むし
> 本件においては、本件CGIファイルおよび本件ログファイルのURLを入力する方法によっては、これらを閲覧することができないように設定されていた。他方、本件アクセスは、本件CGIの脆弱性を利用したものであり、あえてその方法を管理者が認める必要はなく、想定もしていなかったものである。
Re: (スコア:0)
PR TIMESってプレスリリースを出すのを商売にしているみたいなので、このタレコミのプレスリリースがPDFだったので、都合の悪いことはPDFなのね~と言いたいと思ったけど、PDFとは別にPR TIMESのシステムを作って作ったプレスリリースがあるかなと思って、ホームページに行ったのよね。
そして今回のプレスリリース探したんだけど、ホームページからは見つけられなかった。
何がいいたいかというと、このタレコミのプレスリリースのPDFって、ないとは思うけど、一般公開されていなかったらどうしょうと思ったんだよね。
だって、今回の話は公開予定日の前に公開されたって話なので。
Re: (スコア:0)
そして今回のプレスリリース探したんだけど、ホームページからは見つけられなかった。
何がいいたいかというと、このタレコミのプレスリリースのPDFって、ないとは思うけど、一般公開されていなかったらどうしょうと思ったんだよね。
https://prtimes.jp/ [prtimes.jp] の『PR TIMESからのお知らせ』の『【お詫び】PR TIMES発表前情報への不正アクセスに関するお詫びとご報告』からリンクされています。
Re: (スコア:0)
ありがとう。
これで、安心だ。
Re:ノーパスワードでも不正アクセス成立したっけ? (スコア:1)
本文には不正取得としか書かれていないし
プレスリリースのタイトルからだと思います。
https://prtimes.jp/common/file/20210709_PRTIMES_incident.pdf [prtimes.jp]
Re: (スコア:0)
ああ、なるほど。もしかしてheadlessはそれを揶揄して鍵括弧付きで『「不正アクセス」を受けたと発表』というタイトルにした可能性が存在する…?
Re: (スコア:0)
ストーリーのタイトルは後から編集されたもので、当初は鍵括弧なしのタイトルだった(Googleキャッシュで確認できる [googleusercontent.com])
ストーリー本文の『「不正取得」は~』ってとこは当初から鍵括弧付けてるから、プレスリリースの書き方に疑問を持ちながら編集したことは伺える
部門名で「不正アクセス? 部門」とでも書いとけばスラド読者にも伝わったろうに
Re: (スコア:0)
不正取得は脱法だが、不正アクセスは非合法なんだろうか。
Re:ノーパスワードでも不正アクセス成立したっけ? (スコア:1)
不正取得は法律用語ではない(と思う。すくなくとも元米はその前提で書いた)けど、不正アクセスはその名も「不正アクセス禁止法」という法律で初めて定義された単語だから違法。ただしその法律の定義に従うならば今回の事件は不正アクセスではない。
辞書的な意味との混同を防ぐために、それまで存在しなかった用語を法律で新たに定義するのはよくある。
Re: (スコア:0)
今までnagazouだけ何回もやらかしてたのに、ついにheadlessも不正アクセスの毒に侵されて来たのか
不正アクセスじゃない (#3938057) | PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 | スラド [srad.jp]
「不正アクセス」と言わない方がいい (#3980929) | Salesforceでの設定不備問題で、両備システムズの自治体向けサービスに不正アクセス | スラド [srad.jp]
Re: (スコア:0)
うん、いつものnagazouマジック…と書こうとして念のため編集者を見直してえぇ…ってなって慌てて本文書き直した
Re: (スコア:0)
とりあえずリンク先も読まずに批判を始めるACはごめんなさいしてからね。
釣られて同じ愚を犯すACもなおタチが悪い。
# タレコミってheadless氏本人でしょ。
違法性 (スコア:0)
どれに該当するのっと教えてえろい人!
Re:違法性 (スコア:1)
公開してるから著作権法違反
不正アクセス禁止法には当たらない可能性が高い(告訴される可能性あるけど裁判では無罪になる可能性が高い)
https://www.bengo4.com/c_1009/b_515004/ [bengo4.com]
Re: (スコア:0)
また、特定IPアドレスの不正行為についてプロバイダへ申告いたしました。もし今後の継続調査により新たに過去の不正取得が判明した場合には申告するとともに、不正行為については会員企業様と連携して断固たる措置をとる考えです。
https://prtimes.jp/common/file/20210709_PRTIMES_incident.pdf [prtimes.jp]
断固たる措置の内容によるんじゃないかな。
PR TIMES側がどう考えてるかは。
Re:違法性 (スコア:1)
違法性がないのに申告されたってプロバイダも困惑するだけだろ……
Re: (スコア:0)
公表権の侵害(著作権法違反)は確実だけど、それで実際にプロバイダ経由で警告されたって話は聞いたことないな
掲示板荒らしで警告来たってのは聞いたことあるけど
Re: (スコア:0)
そもそも「お前俺んちの開けっ放しにしてる窓から部屋覗いたろ」って状況で警告する方がおかしい
Re: (スコア:0)
業務妨害の筋はどうですかね。
Re: (スコア:0)
著作権者の承諾なしに文書を公開するのは違法性がないとでも?
アクセスログ根拠で令状は取れると思うぞ
Re:違法性 (スコア:1)
公開したのはPRタイムズ側では
Re: (スコア:0)
つまり著作権法違反に問われる可能性がある?
Re: (スコア:0)
どうだろ、すくなくとも PR タイムズは、過失責任はあるだろう。
古典的なセキュリティホール。(技術的というよりも運用上のミス(セキュリティホール)だけど。)
Re: (スコア:0)
しかし、PR TIMES側のログだけでは、閲覧したIPアドレスはわかっても、プレスリリースを公開したユーザが誰かは特定できないと思うぞ。
可能性だけをいえば、アクセスした人間と公開した人間は別かもしれんし。
Re: (スコア:0)
ベネッセの例もあるし、「このipアドレスからハッキングがあって公開前のpdfが流出した」と言われてもプロバイダがちゃんと精査するでしょ と安心はとても出来ない
https://masatokinugawa.l0.cm/2013/09/xss.benesse.html [l0.cm]
Re: (スコア:0)
不正行為については断固たる措置を取る!
ただし今回の件が実際に不正行為に該当するか
断固たる措置に具体的行為が含まれるかについては
お答えできない…
いにしえのスラドなら (スコア:0)
私が管理してるwebサーバーに favicon.ico へのアクセスログが残って不快です
そんなファイルは置いてないのに
むしろPR TIMESのほうが (スコア:0)
これ、むしろPR TIMESのほうが会員各社から無断で公開するな賠償しろ!って訴えられるケースなのでは。
Re: (スコア:0)
本件はPR TIMESと「不正取得」者との関係
貴方が言っているのはPR TIMESと会員各社の関係
それがあったとしても別問題です。