知って得するセキュリティのはなし その130
企業向け広報サービス、発表前情報に関するファイルが第三者に取得される
1.このニュースをざっくり言うと
- 7月9日(日本時間)、プレスリリース配信サイト「PR TIMES」の運営元より、同サイト上にある発表前の情報に関する一部ファイルが第三者に不正に取得されたと発表されました。
- その後9月22日に発表された調査結果によれば、不正に取得された可能性があるのは、2020年11月13日~2021年7月6日にかけて、同サイト会員企業16社のプレスリリース871件に紐づく画像のzipファイル866点、PDFファイル91点とされています。
- 機能面でのセキュリティホールが原因で不正取得が可能になったとしており、7月6日に修正を行って以降は発表前情報に関するファイルの不正取得は確認されていないとのことです。
2.執筆者からの所感等
- セキュリティホールの内容は、画像のzipファイルおよびPDFファイルをダウンロードする機能において、ファイルにアクセスするためのURLが第三者から推測しやすいものになっていた、というものであり、例えばWebサイト等にログインする際のパスワードでもそうですが、第三者から悪用されないための前提を担保するのは、長さと複雑さの両方が十分な文字列となります。
- Webアプリケーション等を開発するためのプログラミング言語では大抵セキュリティに配慮した乱数を生成する仕組み等が用意されているため、日時をベースとする等自前で安易なロジックを作ることなく、そういった仕組みの存在をあらかじめ調査し、利用するよう心掛けることが、安全なWebアプリケーションをはじめとしたシステム開発においては肝要です。
- また、本来発表前の情報に関するファイルがログイン中のユーザーからのみ参照可能な状態か、等を確認するため、第三者機関によるセキュリティ診断を随時受けることや、第三者が不正にファイルを取得しようとする不審なアクセスを検知・遮断できるようなソリューションの導入も適宜検討することを推奨致します。