企業のお知らせ配信サイト「PR TIMES」で漏えい 発表前の情報258件にダウンロードの痕跡

PR TIMES社（東京都港区）は7月9日、同社が運営する、会員企業の発表を配信するWebサイト「PR TIMES」で当時未発表だった画像ファイルやPDFファイルなどを公開環境に置いた結果、合計258点のファイルが流出したと発表した。流出を確認した期間は5月4日から7月6日まで。インサイダー情報の流出は9日までに確認されていないという。 【訂正履歴：2021年9月21日午後10時5分 記事初出時、未発表だった画像ファイルなどについて「不正取得された」としていましたが、ファイルに誰でもアクセスできる状態だったため誤りでした。お詫びして訂正いたします。】 発表前に取得されたと確認したのは、会員企業13社が公開前に下書き保存していた発表内容230件に添付する画像をまとめたZIPファイル230点と、発表文などの内容が書かれたPDFファイル28点。画像とPDFファイル以外のリリース本文などの情報は流

[takeim]

「過去のダウンロード用URLを基にURLの文字列を推測することで」 あっ、これ不正アクセス禁止法に抵触しないケースだ

[gabill]

大学の頃、ネットワークセキュリティかなんかの科目が講義の初めに前の週の課題の答え合わせをする方式だったんだけど、配布PDFのURLを推測して来週のやつをダウンロードしたらカンニングできる脆弱性があった。

[takutakuma]

予測できる URL を打っただけで見れるのを不正行為ってなんかな

[Hamachiya2]

推測可能なURLにアクセスしたら不正アクセスになるの？制限かかってなくても？

[theatrical]

どう考えてもバカなこと言っているとしか思えないけど、取引先の手前被害者を装おう必要があるのかな。

[endor]

『インサイダー情報の流出は9日までに確認されていない』とあるけど当時未発表だったファイル258点の中にインサイダー情報は１つも含まれていないってこと？ほんと？

[triceratoppo]

こんなレベルの倫理の会社ならインサイダー取引やってそうくらいある。

[KAN3]

ロイターが前にURL推測して告訴されてたけど、あれって結局どうなったんだっけ？

[poi_nichijo]

これが不正アクセスに抵触したら色々とひっくり返るぞ

[kijtra]

最近はアプリなんかでURL書いただけでping送ったりOGP取得したりするから、間違えて書いただけでもリクエストは飛ぶかもよ。

[a96neko]

誰でもアクセスできる状態のファイルをアクセスしてインサイダー取引して儲けたいな

[CAX]

アニプレックスも対象？ 昨日(7/13)の『鬼滅の刃』の新情報の後、いつもならPR TIMESに掲載されるのが恒例なんだけど、昨日は更新されなかった。URLの推測が容易だからPR TIMESから中国のネットに情報漏れていたのかな？

[asakura-t]

推測URLで取得できたんでは？と思ったらまさにそういう話だった。

[kuracom]

近頃のGoogleのクローラーはURL類推してガンガンクロールして負荷かけてくるんだけど同じようにしょっぴいてほしい。

[mysql8]

おーといんくりめんと

[ys0000]

これを不正アクセスだと言われるのはちょっと怖いな。ログイン不要でURLも推測可能な範囲じゃないか。

[kamayan1980]

え、いやいやURLを予測してアップ済みのファイルを抜かれる、て数年前からある定番セキュリティホールでしょ。初期段階はともかく未だに塞いでないのはアカンでしょ。

[pmakino]

「過去のダウンロード用URLを基にURLの文字列を推測することで、公開前の画像ZIPファイルが入手できる状態」<自分が18年ぐらい前に作ったしょぼいWebアプリも同じ脆弱性があるんだけど、特段実害ないので放置してる。

[tettekete37564]

またノーガード戦法か

[dorotheas11]

まあ防衛省のワクチンサイトでも同じような低レベルの脆弱性（のようなもの）をあばいたら国が不正アクセス扱いしてたしね、サイバーノーガード国家万歳

[flirt774]

こんなあるあるの脆弱性、気付かない訳ないから、具申して無視されたか、何かの機能追加時に漏れたか。不正アクセスでは無い

[nil0303]

どうせID指定でサクッと取ってこられるとかそういうやつでしょ。

[nhayato]

なるほど

[takilog]

不正アクセスってか公開されてるやん？

[TakayukiN627]

不正アクセスとは？

[shields-pikes]

え、公開予約時間前でも、そのURL叩けば誰でも開ける仕様になってたの？　しかも続き番号とかで？　それ最悪じゃん……。

[Sakana_Sakana]

サイバーノーガード戦法だよねこれは

[akm7160]

URL直打ちで何の制限もなく見れちゃうのは公開してるのと一緒でしょ…

[IGA-OS]

推測できたら興味で試すやろ・・・設計の問題では

[oda-suzuki]

被害者ヅラなのキツイ

[sippo_des]

未知のことにアタックするのは人間の習性ですわ。

[surume000]

仕手筋に利用されてそう

[koji28]

公開してたけど公開前だから不正アクセスなんだよ!!(´・ω・`)ﾅ､ﾅﾝﾀﾞｯﾃｰ

[ya--mada]

ファジングですらない…。単なる設定の不備じゃん。

[yogasa]

"ダウンロード用URLが予測できない文字列になるよう変更した。" この対策してもURLわかったら見れることは変わらなくない……？

[kaerudayo]

こういう漏れ方するとはな。

[nyankosenpai]

「ダウンロード機能を、公開時のみダウンロードできるように変更したことで、下書きおよび非公開時にはアクセスができない状態へ変更いたしました」設計がまずかったかも

[pascal256]

基本てきなミスを。。。

[n_knuu]

Forceful Browsing だ (専門用語としての不正アクセスの一種ではあるが，不正アクセス禁止法には抵触しない，という話だったはず)