3922 PRTIMES 2021-07-09 15:00:00
PR TIMES、発表前情報への不正アクセスに関するお詫びとご報告 [pdf]
2021 年 7 月 9 日
各 位
会 社 名 株式会社PR TIMES
代表者名 代表取締役社長 山口 拓己
(コード:3922 東証第一部)
問合せ先 取締役 経営管理本部長 三島 映拓
(TEL.03‐5770‐7888)
PR TIMES、発表前情報への不正アクセスに関するお詫びとご報告
株式会社PR TIMES(東京都港区、代表取締役:山口拓己、東証一部:3922)は、プレスリリース配信
サービス「PR TIMES」において、会員企業様による適切なタイミングでの発表を目的に、あらかじめ下
書き保存登録いただくプレスリリース情報のうち、画像ファイルとドキュメントファイル(PDF)につい
て、外部の特定IPアドレスから2021年5月4日~7月6日の間に、発表前(当時)の段階で不正に取得されて
いたことを確認いたしました。
弊社が確認している特定IPアドレスによって画像データの不正取得のアクセスログが確認されたのは、
会員企業様13社14アカウントのプレスリリース230件に紐づく画像のzipファイル230点です。同様に、特
定IPアドレスによってドキュメントファイルの不正取得のアクセスログが確認されたのは、前述の13社に
含まれる会員企業4社のプレスリリース28件に紐づくドキュメントのPDFファイル28点です。
これらの不正取得につきまして、該当する会員企業様へ個別にお詫びと経過報告をご連絡させていただ
いております。
現在、前述の特定IPアドレスによる不正取得以外にも不正取得が行われていたかの調査を進めており、
画像ファイルとドキュメントファイルの取得アクセスログは特定できていますが、その中には正規の取得
ログも多く存在するため、不正取得にあたるログが他にもあるか否かについて精査を続けております。
現時点までに判明した事実についてご報告するとともに、今後新たな事実が判明した場合には速やかに
お知らせいたします。
今回の事故は、発表前情報の取り扱いにおける機能面でのセキュリティホールにより許してしまった不
正取得です。本件の対応に関しては、原因箇所である画像一括ダウンロード機能とドキュメントファイル
(PDF)ダウンロード機能について、セキュリティ強度を高めるシステム改修を実行済みです。詳細に関
しては後述いたします。
また、特定IPアドレスの不正行為についてプロバイダへ申告いたしました。もし今後の継続調査により
新たに過去の不正取得が判明した場合には申告するとともに、不正行為については会員企業様と連携して
断固たる措置をとる考えです。
会員企業様、会員メディア様、ユーザーの皆様ならびに関係各所の方々へ、多大なるご迷惑とご心配を
お掛けし、誠に申し訳ございません。発表前の重要情報をお預かりするプラットフォーム運営企業とし
て、発表前の段階で情報流出にあたる事故を起こしたことを厳粛に受け止めており、心よりお詫び申し上
げます。セキュリティ強化により再発防止を図り、信頼回復に誠心誠意努めてまいります。
つきましては、後述の通り経緯と原因、対策についてご報告申し上げます。
1. 内容
弊社が運営するプレスリリース配信サービス「PR TIMES」において、会員企業様にあらかじめ下書き
保存登録いただくプレスリリース情報のうち、画像ファイルとドキュメントファイル(PDF)につい
て、外部の特定IPアドレスから2021年5月4日~7月6日の間に、会員企業様13社14アカウントのプレスリ
リース230件に紐づく画像のzipファイル230点と、前述の13社に含まれる会員企業4社のプレスリリース
28件に紐づくドキュメントのPDFファイル28点が、発表前に不正に取得されていたことが発覚いたしま
した。
2. 不正アクセスにより流出した情報
弊社調査により、以下の情報流出が確認されました。
・件数:
会員企業様13社14アカウントのプレスリリース230件に紐づく画像(JPG/PNG/GIF)を内包したzip
ファイル230点、
前述の13社に含まれる会員企業4社のプレスリリース28件に紐づくドキュメントのPDFファイル28点(※)
・内容:
プレスリリースに紐づく発表前(当時)の情報
※金融商品取引法上の重要事実に該当するものは現在まで確認されていません。引き続き調査と確認を
進めて、今後新たな事実が判明した場合には速やかにお知らせいたします。
3. 経緯
≫2021年7月5日(月)
11:00頃 会員企業様から発表前情報がSNS投稿されている事象報告を受け、流出元調査への協力依頼
を頂く。弊社にて調査を開始。
≫2021年7月6日(火)
11:33 調査の過程で、画像一括ダウンロード機能において、プレスリリースの公開状態に関わら
ず(非公開、下書き含む)、URLロジックを推測および解析することでダウンロードが可能
な状態になっている仕様を確認
12:35 画像一括ダウンロード機能に紐づくプレスリリースの公開状態を確認し、公開状態でない
場合は画像一括ダウンロード不可の仕様へ緊急改修
13:21 アクセスログの調査により、会員企業様にご報告いただいた当該プレスリリースにおい
て、画像一括ダウンロードへのアクセスが行われ、画像ファイルを不正にダウンロードさ
れていた履歴を1件確認。特定されたIPアドレスの調査を引き続き実施
18:03 特定IPアドレスによるアクセスログ履歴を抽出し、影響範囲を特定。事象報告を受けた企
業様を含む同業種会員13社14アカウントへも同IPアドレスからロジック解析によるアクセ
スが実施されていたことを確認。総計230件の画像一括ダウンロード機能へのアクセスログ
を確認。画像一括ダウンロードのアクセスログ履歴のあった会員企業様毎の調査を実施
19:59 画像一括ダウンロードのアクセスログ履歴のあった会員企業様毎にご連絡を開始
≫2021年7月8日(木)
20:22 調査の過程で、ドキュメントファイル(PDF)ダウンロード機能において、プレスリリー
スの公開状態に関わらず(非公開、下書き含む)、URLロジックを推測および解析すること
でダウンロードが可能な状態になっている仕様を確認
≫2021年7月9日(金)
10:47 ドキュメントファイル(PDF)ダウンロード機能において発行されるURLを予測困難なロ
ジックへ変更する緊急改修を実施
4. 本件の対応
原因である画像一括ダウンロード機能とドキュメントファイル(PDF)ダウンロード機能を、公開時の
みダウンロードできるように変更したことで、下書きおよび非公開時にはアクセスができない状態へ変
更いたしました。本対応は一時的な対応であり、今後はセキュリティ強化した上で利便性も高める機能
へ刷新いたします。
また、特定IPアドレスの不正行為についてプロバイダへ申告いたしました。
5. 原因・再発防止策
システム開発段階では想定しなかった画像一括ダウンロード機能とドキュメントファイル(PDF)ダウ
ンロード機能の不正利用により、発表前情報の取得が行われたものであり、今後は、一連の開発体制に
おいて人員を増強し、仕様設計およびコードレビュー、QA等を漏れなく実行し、セキュリティホールの
存在を迅速に発見できる体制へと強化いたします。
また、開発管理のログ強化を行い、機能実装から時間経過している機能についても定期的に見直しをし
て、更なるセキュリティ強化を行う体制へ変更いたします。
6. 業績に与える影響
本件による当社グループの連結業績(2022年2月期)への影響は現時点で軽微と考えております。改め
て開示が必要な場合には、別途速やかにお知らせいたします。
会員企業様、会員メディア様、ユーザーの皆様ならびに関係各所の方々へ、多大なるご迷惑とご心配をお
掛けし、誠に申し訳ございません。発表前の重要情報をお預かりするプラットフォーム運営企業として、
発表前の段階で情報流出にあたる事故を起こしたことを厳粛に受け止めており、心よりお詫び申し上げま
す。セキュリティ強化により再発防止を図り、発表前情報の管理を改めて徹底すると共に信頼回復に誠心
誠意努めてまいります。
今後もどうか「PR TIMES」を引き続きご愛顧いただけますよう何卒よろしくお願い申し上げます。
株式会社PR TIMES 会社概要
ミッション: 行動者発の情報が、人の心を揺さぶる時代へ
会社名 : 株式会社 PR TIMES (東証一部 証券コード:3922)
所在地 : 東京都港区南青山 2-27-25 ヒューリック南青山ビル 3F
設立 : 2005 年 12 月
代表取締役: 山口 拓己
URL : https://prtimes.co.jp/
事業内容 :
- プレスリリース配信サービス「PR TIMES」
(https://prtimes.jp/)の運営
- ストーリー配信サービス「PR TIMES STORY」
(https://prtimes.jp/story/)の運営
- クライアントとメディアのパートナーとして広報・PR 支援の実施
- 動画 PR サービス「PR TIMES TV」
「PR TIMES LIVE」
(https://prtimes.jp/tv)の運営
- クラウド情報整理ツール「Tayori」
(https://tayori.com/)の運営
- タスク・プロジェクト管理ツール「Jooto」
(https://www.jooto.com/)の運営等