2025年5月7日、株式会社PR TIMESは、同社が運営するプレスリリース配信サービス「PR TIMES」がサイバー攻撃者による不正アクセスを受け、個人情報や発表前のプレスリリース情報が漏洩した可能性があることを公表しました。同社の発表によると、コロナ禍におけるリモートワーク移行時に追加したアクセス許可済みIPアドレスのうち、追加した経緯が不明なIPアドレスが侵入経路に使われました。また、認証には普段使われていない社内管理の共有アカウントが使われていました。
今回の事例について、KnowBe4のSecurity Awareness Advocateであるエリック・クロン(Erich Kron)が専門家としての見解を述べました。
エリック・クロンの見解
今回の事例は複数の問題が重なり、セキュリティ管理体制が全体的に破綻してしまったケースです。アクセスを許可したIPアドレスの中に不正なIPアドレスが含まれていたことも、その一例です。必要なIPアドレスに許可を付与することによってセキュリティを強化しようとしていたようですが、許可済みのIPアドレスは定期的に見直しおよび更新し、アクセス許可範囲もできる限り限定する必要があります。
また、管理者権限を持ち、普段使われていない上に共有状態にあったアカウントが侵害されたことも、もう一つの懸念点です。どの組織にも特権アクセスを持つアカウントは存在しますが、これらのアカウントは堅牢化し、常に監視する必要があります。特に、普段使われていないアカウントが使用された際には、セキュリティチームに通知が届くような体制を整えるべきです。特に対話型ログインが行われた場合は注意が必要です。
今回の件は、いわゆる「イニシャルアクセスブローカー」の犯行である可能性が考えられます。イニシャルアクセスブローカーとは、自らランサムウェアやマルウェア攻撃を行うのではなく、ネットワークへの侵入口を確保したうえで、そのアクセス権を他の攻撃者に販売するサイバー犯罪者のことです。そう考えると、最初に攻撃を開始した国内IPアドレスの後に海外IPアドレスからの攻撃も確認された状況にも説明がつきます。こうしたイニシャルアクセスブローカーは通常、一つの侵入口だけでなく、発覚した際に備えて複数のバックアップ手段も用意しており、今回も攻撃者が追加のプロセスを実行したことから、その兆候が見て取れます。
クロンの見解を受けて、KnowBe4 Japan合同会社 セキュリティエバンジェリストの広瀬 努は以下のように述べています。
今回のインシデントの原因の一つとして「共有アカウントの利用」が挙げられていますが、共有アカウントが使われ続けた理由や、共有アカウントの利用を許してしまう運用の背景には必ず人の判断や行動が介在します。例えば、以下のようなことが考えられます。
このように、一見すると技術的な問題に見えても、その背後には人の行動や意思決定の連鎖が存在します。この「人の関与」を深掘りすることで、再発防止策はより本質的なものになります。
インシデントの根本原因を深く掘り下げ、真に強固なセキュリティ体制を築くためには、ヒューマンエラーへの理解と対策が不可欠です。技術的な対策はもちろん重要ですが、それを運用するのも、設定を誤る可能性を秘めているのも「人」であるという視点を持つことが極めて大切です。
このようなヒューマンエラーを最小化し、セキュリティインシデントを防止するには、従業員一人ひとりがヒューマンリスクとサイバーセキュリティを自分事として捉え、組織全体の行動様式として根付かせる「セキュリティ文化」を醸成することが不可欠です。KnowBe4 Japanは今後も、ヒューマンリスクマネジメントの重要性を訴求し、人を起点としたセキュリティ文化の確立を支援してまいります。
<報道関係者のお問い合わせ先>
KnowBe4 Japan PR事務局(株式会社アクティオ内)
E-mail:knowbe4-pr@actioinc.jp