PR TIMESへの不正アクセス事例を考察
2025年5月7日、プレスリリースの配信サービスなどを提供する株式会社PR TIMESは、サイバー攻撃者による不正アクセスを受け、個人情報や発表前のプレスリリースが漏洩した可能性があることを公表しました。本サイバー攻撃を考察します。
PR TIMESとは
株式会社PR TIMES(以下、PR TIMES)は、2025年5月7日、サイバー攻撃者による不正アクセスを受け、個人情報や発表前のプレスリリースが漏洩した可能性があることを公表しました。
同社は、2005年12月に設立され、プレスリリース(報道関係者向け発表)の配信サービスを提供している企業です。いわば、プレスリリースを多数の報道関係者に配信したい企業・組織と、効率よくプレスリリースを受け取りたい報道関係者を仲介するSaaSとも言えるでしょう。
PR TIMESのWebサイトによれば、上場企業の利用数が61%超、月のプレスリリース配信数は39,000件である旨が記載されています。多くの企業・組織に幅広く利用されていると見受けられますが、その理由には以下の点が考えられます。
・配信先メディアの保有量の多さ:
PR TIMESのメディアリスト(PR TIMESが保有するプレスリリース送信先メディアの編集部デスク等の連絡先)の多さが挙げられます。最大で2万514件という記載があり、多くの報道関係者の送付先を保有していることがわかります。
・閲覧数の多さ
同社のサービスはメール配信だけでなくWebサイトにもプレスリリースが掲載されるという利点もあります。同社のWebサイトのアクセス数は、月間約9000万PVであるとのことです。加えて、検索エンジンからの評価などの観点から、同社のサービスは、プレスリリース配信サービスとしてだけでなく、1つのオンラインメディアとしても注目されていることが伺えます。
筆者は広報担当者として、トレンドマイクロのセキュリティリサーチャーと連携しながら、組織の情報発信の最前線に携わっています。今回、本セキュリティインシデントを、広報部門という利用者の視点も含めて考察します。
PR TIMESへの不正アクセスとその影響
では、今回のPR TIMESの受けた不正アクセス事例について公式発表を基に考察していきます。プレスリリース配信サービス「PR TIMES」の2025年5月7日の公表によれば、2025年4月24日より第三者によるサーバ内部への不正アクセスとサイバー攻撃が行われたことを確認し、検知した4月25日から防御と対応を実施したとのこと。調査を進める中で、個人情報と発表前プレスリリースなどが漏洩した可能性があることが判明したということです。
公表内容の概要のうち、被害に関する情報は以下の通りです。
●PR TIMES管理者※画面へ第三者による不正アクセスが行われていたことが認められた。
※編集部注:PR TIMES側のシステム管理用の画面のことと推測される。
●攻撃者が閲覧できた範囲の情報に関しては全て漏洩のリスクがあった可能性がある。影響範囲は、予想される最大範囲で以下の通り。
‐漏えいした可能性がある個人情報90万1,603件(企業ユーザ22万7,023件、メディアユーザ2万8,274件、個人ユーザ31万3,920件、インポートリスト(企業ユーザが保有するプレスリリース送信先メディアの連絡先)33万1,619件、同社スタッフ767件)。
‐個人情報には銀行口座番号、クレジットカード情報等の決済関連情報は含まれていない。
‐発表予定日時が設定されていたプレスリリース発表前情報は、1,182社1,682件(4月24日時点)。
また、公式発表では攻撃手法に関する情報も詳細に記載されています。筆者が注目した主なトピックを下記に列挙します。
●管理者画面にログインするためには、IPアドレス認証、BASIC認証、ログインパスワード認証が必要であった。
コロナ禍のリモート移行時にアクセスを許可するIPアドレスを増やす対応を実施。追加の経緯が不明のIPアドレスが存在し、そのIPアドレスが侵入経路に使われた。また、認証には普段使われていない社内管理の共有アカウントが使われた。
●バックドア(攻撃者が初期侵入で生成した、システム内に不正侵入するための裏口)の存在を確認。
●最初に攻撃を開始した国内IPアドレスの後で、Telegram経由の通信が確認され、その後に海外IPアドレスからの攻撃も確認されたことから、アクセス権限が別の攻撃者へ渡った可能性も考えられ、それらの侵入経路も全て遮断。
(参考情報)
「PR TIMES、不正アクセスによる情報漏えいの可能性に関するお詫びとご報告(2025年5月7日。株式会社PR TIMES)」
(関連記事)
・Telegram(テレグラム)とは?サイバー犯罪に悪用される理由
・ランサムウェアの侵入原因となる「アクセスブローカー」とは?
PR TIMESへの不正アクセスから考える、推奨される対策とは?
本インシデントをもとに、サービス提供者(今回の事例ではPR TIMES)、個人情報が漏洩した可能性がある方、プレスリリース配信サービスを利用している組織の利用部門が行うべき対策を解説します。
サービス提供者に推奨される対策
従来どのような対策を実施していたのか、詳細は公表されていませんが、公表情報から判断する限り、事業者側の対策として以下の点が考えられます。
●コロナ禍のリモート移行時にアクセスを許可するIPアドレスを増やす対応を実施した。追加の経緯が不明のIPアドレスが存在し、そのIPアドレスが侵入経路に使われた。
IPアドレス制限は有効な対策の1つですが、不必要になったIPアドレスはアクセス制限するなど定期的にIPアドレスの棚卸は行うことを推奨します。
また、どのような制限をしていたのか(どのようなレンジのIPアドレスを許可していたのか)によって有効な対策とは言えなくなる場合もあるため、設定の方法も考慮が必要です。
●認証には普段使われていない社内管理の共有アカウントが使われた。
共有アカウントや特権アカウントはサイバー攻撃で使われるリスクが高いアカウントと言えます。こちらも上記同様に定期的に棚卸を行うことが求められます。
●PR TIMES管理者画面に入るには、IPアドレス認証、BASIC認証、ログインパスワード認証が必要であった。
管理システムなど重要な資産にアクセスする認証強化のため、多要素認証などを取り入れることが有効です。多様素には様々な要素が考えられますが、以下の2つ以上を組み合わせることで認証体制をより強固にできます。
知識要素(Something you know):パスワードやPINコードなど、ユーザが知っている情報
所持要素(Something you have):スマートフォンやセキュリティトークンなど、ユーザが所持している物理的なデバイス(SMSによる認証なども含む)
生体要素(Something you are):指紋や顔認証など、ユーザの生体情報
また、サイバー攻撃者によって自社のデバイス自体が乗っ取られる懸念もあります。認証を突破された場合でも、通常と異なる管理システムへのアクセス挙動などを検知するなど、ゼロトラストの考え方でサイバーセキュリティ対策に取り組むことが求められます。
●管理者画面のアクセス許可IPアドレスを、社内からの接続とVPNからの接続のみに制限し、攻撃者がアクセスできないようにする対応を行った。
今回のインシデントを受け、同社は接続元を制限する対策を取っています。VPNについては、脆弱性を悪用するサイバー攻撃も多発しているため、運用面での注意が必要です。詳しくは以下の記事を参照ください。
(関連記事)
・VPN、サイバー攻撃被害に共通するセキュリティの注意点
・VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
個人情報が漏洩した可能性がある方に推奨される対策
●メールアドレス、氏名、企業 ID、所属部署名、電話番号、FAX番号、ハッシュ化されたパスワード(不可逆変換されランダムで復号困難な状態)
氏名やメールアドレスが漏洩した可能性があるため、フィッシング詐欺などの二次被害に繋がる可能性があります。情報が漏洩した可能性がある方は、これらの二次被害に継続して注意する必要があります(このインシデント関連の情報に偽装する場合も考えられます)。
●ハッシュ化されたパスワード(不可逆変換されランダムで復号困難な状態):
ハッシュ化された場合でもレインボーテーブル※などテクニックも存在しているため、パスワードの再設定を推奨します。また、他のサービスで同じID、パスワードを利用している場合、連鎖的にアカウントリスト攻撃の被害にあう可能性があるため、パスワードの使いまわしは行わないように徹底すべきです。
※パスワードのハッシュ値から元のパスワードを逆算するための手法。
プレスリリース配信サービスを利用している組織に推奨される対策
●パスワードについては、「個人情報が漏洩した可能性がある方」と同様の対策が必要です。
●2025年4月24日時点で発表予定日時が設定されていたプレスリリース発表前情報(4月24日時点)は、1,182社1,682件:
⇒本インシデントの注目すべきポイントと言えます。プレスリリースには様々な種類がありますが、原則「未発表」のニュースであるため、自組織にとって機微な情報が漏洩した可能性を精査し、今後の運用を必要に応じて見直すことを検討すべきと言えます。この点については次章で詳細を解説します。
プレスリリース配信サービス利用時に注意すべきこと
繰り返しになりますが、本インシデントの注目点は「未公開のプレスリリース情報」が窃取された可能性があるということです。次に、同社サービスの利用を検討した経験に基づき、利用者の視点から、導入の流れに応じて考慮すべきポイントを解説します。
サービス利用目的の明確化
まずプレスリリース配信サービスを利用する際の目的と期待される効果の明確化が必要です。たとえば、利用コストに対して、どのくらいの成果が見込めるのか。具体的には、どういったコンテンツであれば配信可能なのか、配信回数は何回までなのか、過去の事例を鑑みてどの程度成果が出そうか、送付可能な宛先は何件かなどを、資料や担当者との会話を通じて確認するとよいでしょう。システムの導入などを検討する際、当初期待していたことが実現しないと判明することもあります。その際に、どこまでであれば許容できるかなどを明確にするためにも必ず目的の明確化は行う必要があります。
運用とセキュリティ
どのように本サービスを運用するかという点と実現可能なセキュリティ対策を併せて確認します。具体的には、実際に配信する内容、プレスリリース原稿をどのように作成するのか、作成までのステップはどうなのか、配信登録の仕方はどうなのか、複数メンバーで対応できるようなシステムか、などの点です。
トレンドマイクロでは新たなクラウドサービスを利用する際、考慮すべきサイバーセキュリティのポイントがあるため、それに対応しているかを合わせて確認します。例えば「内部監査は定期的に実施しているか」、「脆弱性対策の管理プロセスはどうか」、「アカウントへの不正アクセスへの対策はどうか」などです。
また、サービス提供者のセキュリティ指針を確認するため、プライバシーポリシー(PR TIMESのものはこちら)などを確認するのもお勧めします。詳細情報については、個別に問い合わせるか外部のクラウドセキュリティ評価サービスなどに登録している情報を参照します。
筆者もこうしたクラウドサービス導入検討に関わったことがありますが、実際に管理画面へのアクセス方法や設定などを確認しました。その際の疑問点についてサービス事業者の担当者と直接やり取りし、サイバーセキュリティへの対策を確認しました。また、このタイミングで当社のシステム担当者とも打ち合わせを行い、考えている目的や利用方法などをすり合わせしました。
こうしたサービスの利用に際して、考慮すべきセキュリティ上のポイントがあります。プレスリリースの配信を行うサービスということは、「未公開のプレスリリース情報」が公開前にクラウド上に保存されることであり、仮にそれが窃取されれば機密情報の漏洩に繋がる可能性があるということです。
したがって、たとえば公開前のプレスリリースは格納しない、あるいは、事前に公開しても問題のない情報を格納するなど、運用方法でカバーすることも検討するとよいでしょう。
その他に考慮すべきことは?
ここまでサービス導入の流れに沿ってポイントを解説してきました。さらに考慮するとよい点として次の項目を付け加えたいと思います。
●クラウドサービスを利用する際、サイバーセキュリティは考慮すべきポイントですが、大なり小なりサイバーリスクは存在します。それが許容できるリスクなのか、許容できないリスクなのか、そのリスクを運用などでカバーできるのかなどを考慮することが重要です。
●サービスの導入に際しては、どの組織でもシステム・セキュリティ担当者と検討すると思いますが、ビジネスを推進する事業部側がその事業リスクをどう考えるかは明確にする必要があります。その考えをもとにシステム担当者や社内の関係者とすり合わせをしないと「本来の目的が達成できない」ということにも繋がるおそれがあり、また、その事業リスクがどこまで許容できるかはビジネスを推進する側でないと判断ができないためです。
上記は、あらゆるサービスやシステムを導入する際のキホンとも言えます。ともすると、導入メリットやコスト、セキュリティ対策の強度などに話題が偏りがちで、事業部門とセキュリティ部門の意見の相違がみられるという話はよく見聞きします。上記のキホンの観点で、両者の目線をどう揃えるか、そのために事業部門として何を考えておくべきか、という点も重要です。
<関連記事>
・クラウドサービスのリスク審査はなぜ疲弊するのか?~実態と業務のヒント~
・CNAPPがなぜ今必要とされているのか?
・VPN、サイバー攻撃被害に共通するセキュリティの注意点
・VPN機器の脆弱性はなぜ管理しづらいのか~ネットワークエンジニアの立場から探る
・2025年第1四半期の国内セキュリティインシデントを振り返る
執筆者
高橋 昌也
トレンドマイクロ株式会社
シニアマネージャー
PCサーバ Express5800、ファイアウォール、ネットワーク検疫、シンクライアントのプロダクトマーケティングマネージャーに従事した後、2009年にトレンドマイクロ入社。
2012年当時、業界に先駆けて日本国内への標的型攻撃(APT)について、統計データを用いた情報発信をリード。
現在は、リサーチャーと連携し、サイバーリスクマネジメントやAIセキュリティに関する情報発信を行う。
取引先への個人情報監査やサプライチェーンリスクマネジメントも担う。
主なメディア出演:日本テレビ(NEWS ZERO)、フジテレビ(めざましテレビ)、テレビ朝日(報道ステーション)、TBS(林先生が驚く初耳学!)、日本経済新聞、朝日新聞、毎日新聞、読売新聞、産経新聞など
