PR TIMESに不正アクセス、最大90万件の個人情報が漏えいの恐れ

2025年5月7日、株式会社PR TIMESは、自社のプレスリリース配信サービス「PR TIMES」に対する不正アクセスとサイバー攻撃が発生し、最大約90万件の個人情報が漏えいした可能性があると発表した。
IP制御の甘さが仇に 漏えいの可能性と攻撃の手法
今回の不正アクセスは、PR TIMESの管理者画面に対する侵入という形で行われた。サーバー内に不審なファイルが発見されたのは4月25日。直後の調査で、攻撃は前日24日から始まっていたことが判明した。
アクセスには、IPアドレス認証、BASIC認証、ログインパスワードという複数の認証が必要だったが、コロナ禍以降に拡大したリモートワークの影響で、社外からのアクセス許可IPが増加していたという。この中に、侵入経路となった不明なIPアドレスが含まれていた。
不審なファイルは発見直後に停止され、アクセス経路も遮断されたものの、4月27日深夜から28日早朝にかけて、さらなる攻撃が確認された。最終的な遮断とプロセス停止は4月30日。完全な対処までに数日を要した点も問題視される。
漏えいの可能性があるのは最大90万1603件。企業ユーザー22万7023件、メディアユーザー2万8274件、個人ユーザー31万3920件に加え、インポートリスト33万1619件、同社スタッフ767件の情報が対象だ。これらには氏名、メールアドレス、電話番号、ハッシュ化されたパスワードが含まれる。
ただし、クレジットカード番号や銀行口座情報などの決済情報は含まれていないという。
現在、PR TIMESは対象ユーザーに対し個別連絡を行い、パスワードの変更を推奨している。サイバー攻撃の事実については警察庁にも報告済みであり、公式な対応が進行中だ。
ビジネス環境に忍び寄るセキュリティリスク 求められる企業の再設計
最大約90万件にのぼる個人情報が外部流出の可能性に晒されているという事実は、情報セキュリティ体制に根本的な課題があったことを示している。
とりわけ、リモートワーク導入時に拡張したIPアドレス設定の管理が不十分だった点や、普段使われていない共有アカウントが突破口となった点は、内部統制とアクセス制御の甘さを露呈した。
今回の件を受けて、PR TIMESはアクセス管理、アカウント運用、ログ監視体制の見直しを迫られることになるだろう。特に、共有アカウントの利用廃止や多要素認証の義務化、アクセス元のIPアドレス管理の厳格化などは、再発防止策として早急に実装される可能性が高い。
さらに、このインシデントは業界全体にも波及する可能性がある。
同様のプレスリリース配信サービスやクラウド型プラットフォームを提供する企業においても、自社のセキュリティ体制を再点検する動きが広がると予想される。
利用者側も、サービス選定の際に「利便性」だけでなく「セキュリティ対策」の充実度を重視する傾向が今後強まっていくのではないか。