※トップ画像はPR TIMES社のリリースより
皆さんこんにちは。
プライバシーザムライ中康二です。
ニュースリリース専門サイト「PR TIMES」を運営するPR TIMES社に不正アクセスが発生し、管理画面へのアクセスを許してしまったことから、すべての情報にアクセスがあった可能性があるとのことで、同社では情報漏洩の可能性があるとリリースしています。同社はPRのプロの会社でもあります。同社の対応から学べる点があるのではないかということで、この記事では、そういう視点からご紹介させていただきます。
目次
PR TIMES社への不正アクセスの概要
今回の不正アクセスは、「VPNの脆弱性をついて社内ネットワークに侵入して」ということではなく、インターネット上からPR TIMESの管理画面に直接アクセスして行われたようです。
同社では「IPアドレス制限」「BASIC認証」「IDパスワード認証」の三重のアクセス制限をかけていたとのことですが、①IPアドレス制限では追加の経緯が不明のIPアドレスがあり、そのIPアドレスが侵入経路に使われた。②認証には社内管理の共有アカウントが使われたとのことです。この部分はセキュリティ管理体制の甘さが感じ取れる内容になっています。
上記の方法により管理画面に不正アクセスした犯人は、何らかの方法により(詳細不明です)サーバー上に不正なプログラムを設置し、その後そのプログラムを使用して外部から通信を行った形跡も残されていたとのことです。
今回、確認された被害はここまでで、他社で発生したランサムウェアの被害のような「全データ暗号化」「データの大量持ち出し」は確認されていないようですが、同社としては管理者アカウントへのアクセスを許してしまったことから、同権限でアクセスできる全ての情報について漏洩した可能性があるとしてリリースしたようです。
同社のリリース文の特徴(1)自然な文体で書かれている
同社のリリース文の最初の書き出しの部分です。事実を淡々と、自然な文体で記載しています。他社のリリース文とは異なり、平身低頭して「お詫び」している印象はあまり受けません。
同社のリリース文の特徴(2)顧客と一緒に問題解決をする方向性を示している
本文で「お詫び」が出てきますが、すぐその後に「パスワード変更のお願い」が出てきています。やはり平身低頭してお詫びするというよりは、顧客と一緒に力を合わせて問題解決していくという方向性で、「パスワード変更」が出てきているような印象を受けます。
同社のリリース文の特徴(3)被害は最大の可能性で捉える
今回は同社のPR TIMESの管理者画面へのアクセスを許してしまったことから、同サーバーに保存されている全ての情報を閲覧された可能性があるということで、最大の可能性で被害を公表することにしたようです。
万が一の際のリリース文を用意しておきましょう。
私がオススメしたいと思うのは、今回の同社のリリース文を参考に、自社でも万が一のことが発生した際のリリース文の下書きを用意しておくことです。そうすると、万が一の事態に見舞われたとしても、慌てることなく対応できると思います。
今回のリリース文から学べること〜「お詫び」よりも「問題解決」を〜
今回の同社のリリース文から学べることは、単に「平身低頭にお詫び」することよりも、「発生してしまった問題を如何に解決するか」という方向性を示すということです。
お詫びお詫びをするあまり、「被害はなかった」と強弁するようなリリースも見受けられる中で、同社のリリース文は「被害は最大の可能性で考え」ながらも、お詫びお詫びではなく、一緒に問題解決をしていこうという姿勢が見られ、私は好感を持ちました。
PR TIMES、不正アクセスによる情報漏えいの可能性に関するお詫びとご報告(2025年5月7日)
https://prtimes.jp/main/html/rd/p/000001531.000000112.html
PPR TIMES発表前情報への不正アクセスに関する調査結果のご報告とお詫び(詳報)(2021年9月22日)
https://prtimes.jp/main/html/rd/p/000001123.000000112.html
この内容が皆さんにとって何かの参考になればと思います。
また、何か情報が入りましたら、皆様にシェアいたしますね。
プライバシーザムライ
中 康二
