Cyber Security Intelligence Vox

ITmediaは『PR TIMES社は5月7日、不正アクセスにより90万件超の情報が漏えいした可能性があると発表した。』と報道している。

侵入経路について『「PR TIMESの管理者画面に入るには、IPアドレス認証、BASIC認証、ログインパスワード認証を通過する必要がある。コロナ禍のリモート移行時にアクセスを許可するIPアドレスを増やす対応を行ったが、追加した経緯が不明のIPアドレスが存在し、侵入経路に使われていた。また、認証には普段使われていない社内管理の共有アカウントが使われていた」（同社）という。』と報道している。

コロナによる出社制限が発生し、リモートワークとなったケースも多いと思います。そのリモートワークへの切り替え時の「古い」設定が残存したままである点を狙われた様です。

報告書には、最初の攻撃を検知し、その経路を遮断しても、最初の攻撃時に設定されたバックドアを経由して、「しつこく」攻撃された様子が記されています。

アクセス経路の確認は、定常的に実施しないと、そこが穴になって攻撃されてしまう事例だと思います。報告書では技術的にも高い方々が検知から防衛まで実施している様子がうかがえるので、決してレベルの低いインシデントではないと思います。

そうしたことから、（先に記したアクセスルートの定期確認の様に）設定の追加変更に対する定時棚卸しの重要性を痛感します。

https://www.itmedia.co.jp/news/articles/2505/07/news168.html

企業向け広報サービス「PR TIMES」、90万件超漏えいか　コロナ禍で緩和したIPアドレス認証が侵入経路に

https://prtimes.jp/main/html/rd/p/000001531.000000112.html

PR TIMES、不正アクセスによる情報漏えいの可能性に関するお詫びとご報告