二段階認証やIPアドレス制限、ログイン通知など、今年8月から順次実装予定
不正アクセス事件を教訓に PR TIMESが「5つの再発防止策」を公表
2025年06月30日 17時50分更新
PR TIMESは、2025年6月26日、プレスリリース配信サービス「PR TIMES」を利用するユーザーに対して、2025年4月に発生した不正アクセスに対する追加の再発防止策について公表した。
PR TIMESでは2025年5月7日、サーバー内部への不正アクセスとサイバー攻撃が行われたことを発表。本件の内容や経緯、対応に加えて、最大約90万件におよぶ個人情報が漏えいした可能性があることを明らかにした。あわせて、以下の再発防止策についても言及していた。
【(5月時点で)実施済みの措置】
・管理者画面のアクセス許可IPアドレスを、社内からの接続とVPNからの接続のみに制限
・バックドアファイルが設置された箇所で、不正なファイルを実行できないようにする設定を追加
・管理者画面にアクセスできる全アカウントのログインパスワードを変更
・不要な共有アカウントの削除
【実施予定の措置】
・現在導入しているWAF(Web Application Firewall)の設定の見直し (2025年10月末に完了予定)
・2022年より進めている、セキュリティをより担保しやすい新管理者画面への移行 (2025年12月中旬を予定)
今回の発表では、新たに「5つの再発防止策」を実施するとしている。以下の対策を、企業ユーザー・個人ユーザー・メディアユーザー向けに講じていく。
■対策1:ログイン二段階認証とON/OFF設定(企業ユーザー:8月上旬、メディアユーザー:9月上旬、個人ユーザー:10月上旬に実装予定)
全ユーザーを対象に二段階認証を導入。アカウントごとに利用の有無を設定できる仕様を予定している。
PR TIMESでは、「これにより、第三者がIDとパスワードを不正に入手した場合でも、パスワード単体ではログインが完了しないため、なりすまし対策として効果が見込めると考えております」と述べている。
■対策2:IPアドレス制限とON/OFF設定(9月上旬に実装予定)
企業ユーザーを対象に、IPアドレスによるアクセス制限を実装する。こちらも、アカウントごとに利用有無を設定する仕様となる。許可されていないIPアドレスからの接続試行をログイン時点で遮断、なりすまし配信を防止する。
PR TIMESでは、「不正ログイン対策として有効な一方、設定を誤ると正規のユーザー様ご自身がログインできなくなる可能性があります」と言及。そのため、設定ミスが起こりにくい画面設計や、問い合わせ窓口への導線の整備を含めて実装を進める。
■対策3 :パスワードのセキュリティ向上(11月下旬に実装予定)
全ユーザーのパスワードを対象に、複雑性を十分に担保できる文字数と入力規則のルールを適用する。先行実装する「ログイン二段階認証(対策1)」の開発において、既存ユーザーへの影響を調査した上で、スムーズな移行ができるよう進めていくという。
■対策4: 削除データの保持期間30日間(12月中旬に実装予定)
運用側からの対策として、ユーザーの画面上から削除されたデータ(登録情報、下書きコンテンツ、リスト情報など)を、削除後30日間は運営側で復旧可能な状態で保持し、その後はデータベース上から完全に削除する仕様に変更する。
まずは、システム欠陥や誤削除でデータが失われることのないよう、影響範囲の調査から着手。さらに、テスト工程でも、あらゆる条件を想定した網羅的な検証を実施した上で、実装するという。
■対策5:ログイン通知及びログイン履歴の強化(2026年3月下旬に実装予定)
全ユーザーを対象に、管理画面へログインした場所や利用するデバイスといった情報を、履歴表示や通知メールに加える機能を実装する。また、不審なログインがあった場合は強制ログアウトさせる仕組みも導入予定だ。
まずは、履歴情報を安全に取得・保存する機能の構築から着手する。先行して実装する「削除データの保持期間(対策4)」の機能との間でデータの不整合が生じないよう、対策4の実装後に開発に着手し、データの取得からUIの開発までを慎重に進めていくという。
