Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

AWSは以前から警告を発している

少し怖い情報漏洩の記事がTechcrunchに上がっていました。

jp.techcrunch.com

記事によると、TeenSafeは、同社がAWS上で保有するサーバーのうち2台を、誰でもアクセスできる状態に放置していた。しかも漏洩したデータベースには、親のメールアドレス、子供のApple IDメールアドレス、デバイス名、デバイス固有ID、および子供のApple IDの平文パスワードが保管されていた。つまり…ほぼすべてだ。

 (Techcrunch記事より引用)

 

◆キタきつねの所感

またAmazon S3AWS)の意図しないデータ公開設定に伴う事件のようです。更に悪いことに、パスワードを平文で保存するという恥ずかしい管理まで漏えいしてしまい、企業に対する信用度にかなり悪影響を与えたかもしれません。

クラウドサービスのアクセス権設定ミスは、例えて言うなら賃貸マンションの部屋で、窓を開けたまま着替えしているようなものです。誰かに見られるかも知れない環境を改善するためには、カーテンを付けるのもひとつでしょうし、窓際のオープンの環境で着替える必要はなく、個室や脱衣所で着替えても良いのです。

 

Amazonも意図しないデータ公開設定により、同じようなデータ漏えい(したかも知れない)事件が多発した事を受け、昨年の7月に警告を出しています。

 

aws.amazon.com

重要なデータが漏洩した事例のいくつかを調査した結果、バケット ACL“All Users” “All Authenticated AWS Users” に設定されているお客様はセキュリティリスクが高いと判断しています。該当するお客様は、設定の見直しを推奨すべくメールをお送り致しましたので、アクセスが広く許可されていることが本当に正しい状態か、今一度ご確認ください。 

 

 しかし、7月のこの警告以降も設定ミスと思われる事件は続いています。タイムスワーナー、アクセンチュア、米国国防総省Fedexなど、名だたる組織も被害を受けています。

漏えい事件の規模でいえば、たかだか1万人分のデータ漏えいではありますが、言い方を変えれば既知の脆弱性を放置した結果が、機微な情報漏えいであった訳です。

セキュリティのプロが提供するティーンの監視アプリサービス、そのセキュリティ設定にミスがある事自体が、顧客の信頼を大きく損ねる、そうした観点でセキュリティを設計する事が必要だったのではないでしょうか。

日本でもFinTechだけでなく、多くの一般企業がAWSあるいは、外部のクラウドサービスを利用していると思います。クラウドの設定ミス・・・について、今一度真剣に見直す事も重要だと思います。

 

 

 

一般市民の携帯電話を覗く警察官のイラスト(日本)

 

更新履歴

  • 2018年5月24日AM(予約投稿)