PR TIMESにサイバー攻撃　個人情報最大90万件や未公開情報流出か

　7日、プレスリリース配信サービスを提供する（株）PR TIMES（東京都港区、山口拓己代表）は、管理者画面に対する不正アクセスが発生し、最大約90万件の個人情報および未公開のプレスリリース情報が漏えいした可能性があることを公表した。

　同社によると、4月25日にサーバー上で不審なファイルが検知され、調査の結果、4月24日から25日にかけて第三者による不正アクセスが確認された。攻撃者は、社内で共有されていた管理アカウントと、リモートワーク対応で追加されたIPアドレスを利用して侵入し、バックドアを設置。その後、Telegram経由の通信や海外IPアドレスからのアクセスも確認され、複数の攻撃者が関与していた可能性があるという。

　漏えいの可能性がある個人情報は最大で90万1,603件におよび、企業ユーザー22万7,023件、メディアユーザー2万8,274件、個人ユーザー31万3,920件、インポートリスト（企業ユーザーが保有するプレスリリース送信先メディアの連絡先）33万1,619件、同社スタッフ767件。

　これらには、氏名、メールアドレス、電話番号、所属部署名、ハッシュ化されたパスワードなどが含まれるが、銀行口座番号やクレジットカード情報などの決済関連情報は含まれていない。

　また、4月24日時点で発表予定だったプレスリリース情報1,682件や、PR TIMESが保有するメディアリスト2万514件も漏えいの可能性がある。

　同社は、攻撃者による不審な操作やプロセスを停止し、不正アクセス経路を遮断。サービス自体には影響はなく、正常に稼働している。再発防止策として、管理者画面へのアクセス制限の強化、WAF（Web Application Firewall）の設定見直し、新管理者画面への移行などを実施予定だとしている。

　本件に関して、PR TIMESは所轄警察署へ被害を申告し、事件相談として受理された。また、個人情報保護委員会とJIPDEC（（一財）日本情報経済社会推進協会）へも速報を報告している。同社は、今後も継続的な調査と捜査機関への協力を行い、不正行為に対して断固たる措置を講じる方針である。

　なお、影響を受けた可能性のあるユーザーには個別に連絡を行い、パスワードの変更を促している。同社は、発表前の重要情報を預かるプラットフォーム運営企業として、より一層のセキュリティ対策と監視体制の強化に努めるとしている。

【松本悠子】