Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

AWS設定ミスで5万人のホンダ顧客情報が公開状態

またAWS設定ミスが発見されていました。ホンダのインド法人が影響を受けたようです。

gigazine.net

閲覧できる状態だったデータは、アプリに登録した名前・電話番号・パスワード・性別・メールアドレス・連絡先。また、車に関する情報の車両識別番号・アクセスIDなども含まれていました。

Kromtechの専門家が顧客情報のデータベースを見つけた場所は、ウェブストレージサービスAmazon AWS S3上。データが流出したのはAmazon側の問題ではなく、Honda Cars Indiaがデータを保存するディレクト「Buckets(バケット)」の設定を誰でも閲覧できる「公開状態」にしていたのが原因。公開状態の2つのバケットの中には、Honda Connectのユーザーデータが合計で5万人分以上が含まれていました。

Gigazine記事より引用)

 

f:id:foxcafelate:20180610173850j:plain

 

◆キタきつねの所感

今回もAWS設定のミスを見つけたのはKromtech。ホワイトなセキュリティ企業の善意ある警告ではあるのですが、調査結果がBlogに発表されてしまうので、漏えいの事実がすぐ知れ渡ってしまいます。(おそらく事件を隠蔽しずらいはずです)

とは言え、AWS脆弱性については、私も以下の記事を書いていますが、名だたる企業がずーっとミスを続けて発表していますので、既知の脆弱性と考えても良いのではないかと思います。これだけ事件が報じられても、設定ミスが無いかを確認しない企業側が悪いのではないでしょうか。

 

foxsecurity.hatenablog.com

上記記事にも書きましたが、Amazon側も設定ミスが分かりやすいように管理コンソールのインターフェイスも変更してますし、警告のメールも各ユーザに出しています。今回のホンダだけでなく、Amazon AWS S3を利用しているユーザは、『自社、自部門のサービス状態がどうなっているのか』今一度、再確認すべきだと思います。

AWSだけでなく、Cloudを利用しているユーザは、自社で決めるべきセキュリティ設定の不備についてCloudサービス事業者が責任を負わない事を改めて認識した方が良いのではないでしょうか。(AWS以外のCloudサービスでも似た様なリスクは存在していると思います)

 

 

レーサーのイラスト(女性)

更新履歴

  • 2018年6月10日PM(予約投稿)