PR TIMESのURLロジックを推測して、公開前情報を入手するとか頭イイ人いるんだねw
2021/07/09
PR TIMES、発表前情報への不正アクセスに関するお詫びとご報告
https://prtimes.co.jp/ir/
発表前の情報がSNSで拡散されていたんだね pic.twitter.com/FsUrfrUPY2
— ありゃりゃ (@aryarya) July 9, 2021
URL直打ちで未公開情報見たら不正アクセスって不正アクセスのレベルが低すぎないか?
「画像一括ダウンロード機能とドキュメントファイル( PDF )ダウンロード機能において、プレスリリースの公開状態に関わらず(非公開、下書き含む)、 URLロジックを推測および解析することでダウンロードが可能な状態になっている仕様を確認」
↓
「画像一括ダウンロード機能とドキュメントファイル(PDF)ダウンロード機能を、公開時の
みダウンロードできるように変更したことで、下書きおよび非公開時にはアクセスができない状態へ変更」
えっURLは公開設定だったってこと…
対策も“人員を増強し、仕様設計およびコードレビュー、QA等を漏れなく実行し、セキュリティホールの存在を迅速に発見できる体制へと強化”って言っているし、どう見ても人的設定、または設計ミスだって自分たちで認識されているよね。
セキュリティホールは、不用意な仕様としてしまった人為的ミス。— アイヴァーン (@Ivarn) July 10, 2021
URL
は“当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号”じゃないし、“当該特定利用の制限の全部又は一部を解除する”“「アクセス制御機能」”の観点ではプレスリリースの公開と同期していない仕様だったと制御していないし。— アイヴァーン (@Ivarn) July 10, 2021
だから、“アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動”させていないし、…
— アイヴァーン (@Ivarn) July 10, 2021
そりゃ少しでも早い情報を手に入れたい人は推測できるURLで探そうとするだろうなぁ…
公開されているのだから不正アクセスじゃないとは思う。(想定していないアクセスというだけで)公開したくない情報なのになぜ公開領域に載せるのか意味が分からん。テスト環境もない貧弱な環境なのか?
PR TIMESの件って杜撰な管理のミスを不正アクセスと言ってるだけ過ぎる
さすがに無いだろうけど仮にこれで逮捕されるなら、うかつに URL を直叩きもできんなぁ。。w
うっかり保護されていない () 非公開コンテンツにアクセスできちゃったら手錠掛けられるんでしょw
唯一、“アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動”は抵触しそうだけど、アクセス制御機能有効じゃなかったんじゃ…。
— アイヴァーン (@Ivarn) July 10, 2021
“当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(…)であることを確認”することがアクセス制御機能と規定されているので、識別符号を用いずにアクセス可能な場合は制御機能が有効とは言えないのでは?
— アイヴァーン (@Ivarn) July 10, 2021
識別符号とは、“特定電子計算機の特定利用をすることについて…当該アクセス管理者において当該利用権者等を他の利用権者等と区別して識別することができるように付される符号”だと定義されているのだから、特定者でなくても必要な
URL は利用者を識別する符号じゃないよねぇ。— アイヴァーン (@Ivarn) July 10, 2021
だから、不適切なアクセスではあっても不正アクセスといえるかは微妙だと思われ、管理者において公開の意図がなかった公開はされていない URL を司法が“識別符号”と判断するか否か、によってわかれそう。
— アイヴァーン (@Ivarn) July 10, 2021
PRタイムスが非公開URLにアクセスされたのを不正アクセスとか言ってる件、元の判例は、FTPでパスワード認証がかかってる領域にディレクトリトラバーサルでアクセスした件についての判例だし、今は各種サービスでURL知られると漏れるとい… https://t.co/mAPPY6nFfO
「設定ミスによる情報漏洩」よりも「不正アクセスによる情報漏洩」のほうが印象が悪くなる気がするけどな。
なんで不正アクセスという表現にしたんだろ。
PRTimesは下げてるな
あまりにもお粗末くんだもんな
連想しやすいフォルダ名にしてたんやろ
「不正アクセスでした!」って言うのも恥ずかしいようなただの運用ミスだと思うんだけど、PR TIMESとしてはそれでいいんだろうか。
つか中小企業がこんなガバガバレベルばっかりなら、適当にセキュリティ系握っとけば長期で楽できそうだな(白目)
・ハコ会社
中身のない新規事業やM&Aで目立つ開示する→株価上げる→増資する→ばれて下方修正する→資金流出して悪い人が儲かる・ベクトル系列
それっぽい社名で上場する→IR頑張って株価上げる→不正したり中身のないのがばれて下方… https://t.co/9ZYvScXoOw
//platform.twitter.com/widgets.js
Source: 市場
PR TIMES、自社の杜撰な仕様ミス(公開前でもURLを推測して直打ちすれば公開状態)を不正アクセスと言い張る