プレスリリース配信サービスを運営する「PR TIMES」が第三者による不正アクセスとサイバー攻撃で個人情報や発表前のリリースなどの保有情報が漏えいした可能性があると発表した。この動きをきっかけに、自社のデジタル資産の脆弱性や管理体制を見直す課題が企業に突きつけられている。セキュリティー専業大手のトレンドマイクロは、「アタックサーフェス（攻撃対象領域）」に迫る脅威に備えるよう注意喚起している。

　PR TIMESが7日に発表した報告によると、情報漏えいした可能性があるのは、最大90万1603件の個人情報や発表前のプレスリリース1682件など。銀行の口座番号やクレジットカード情報などの決済関連情報は含まれていない。

　経緯を振り返ると、4月25日にサーバーに不審なファイルが配置されていることを検知し、調査したところ、管理者画面へ第三者による不正アクセスが認められた。新型コロナウイルス禍のリモート移行時にアクセスを許可するIPアドレス（インターネット上の住所）を増やす中、追加の経緯が不明なアドレスが侵入経路として使用。認証には、普段使われていない社内管理の共有アカウントが使われた。被害は7日に警察署へ申告し、受理されたという。

　影響の範囲については、外部のセキュリティー専門機関と連携して調査。既に不正アクセス経路を遮断し、攻撃者による不審な操作やプロセスも停止した。再発防止策としては、管理者画面のアクセス遮断を厳格化するとともに、リモートワーク用IPアドレスを改めて整理し、必要最低限の許可にとどめるようにした。2025年中にセキュリティーを担保しやすい新管理者画面へ移行する予定という。同社はホームページ上で、「より一層のセキュリティー対策と監視体制の強化に努めて参ります」とコメントした。

セキュリティー大手が注意喚起

　トレンドマイクロによると、アタックサーフェスはサイバー攻撃を受ける可能性のある全てのデジタル資産を指し、パソコンやサーバー、IoT（モノのインターネット）デバイス、クラウドサービスなどが含まれる。攻撃への踏み台となる機器も含む。同社はリモートワークの広がりなどを背景にアタックサーフェスが増えている現状を十分に自覚する必要性を説いた上、「新しく導入したシステムやデバイスに対してどのようなサイバー攻撃が着弾するかを把握することが重要だ」と強調した。具体的には、アタックサーフェスを極力減らすセキュリティー設計を施し防御することに加えて、外部公開するシステムを最小化したり、不要なプロトコルやサービスを制限したりする対応を推奨。アタックサーフェスの把握と管理を徹底する対応も呼び掛けた。

　同社が日本を含む29の国・地域を対象にアタックサーフェスに関するセキュリティー意識調査を2022年に実施。この中で、法人組織のIT部門ら6297人に対してアタックサーフェスが明確に定義されているかを尋ねたところ、全世界では約半数が「完全に定義されている」と回答した。日本に限って見ると、完全な定義は34.6％にとどまり、アタックサーフェスへの懸念は感じつつも対策の前提となる可視化が進んでいない実態が浮き彫りとなった。