Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

AWSは設定ミスを意識しなければならない

世界最大の企業にデータ管理、倉庫保管、複製サービスを提供するイスラエルのIT企業Attunityが、Amazon S3の設定不備があり、顧客の情報まで意図せず公開していたと報じられていました。

www.zdnet.com

 

漏洩しやすいAWS S3バケットには、Attunity自身の業務に関する情報だけでなく、一部の顧客(Ford、Netflix、TD BankなどのFortune 100企業)からのデータも含まれていました。

5月13日に漏洩したS3バケットが発見され、3日後に確保されました。これは、データ侵害捜査会社UpGuardの作業のおかげです。

公開された情報には、従業員のOneDriveアカウントのバックアップが含まれていました。メールによる連絡 システムパスワード 生産システム用の秘密鍵 販売およびマーケティングの連絡先情報 プロジェクト仕様 従業員の個人データ もっと。

たとえば、UpGuardの研究者は、Netflixプロダクションデータベースシステムのユーザー名とパスワード、社内のソフトウェア従業員のためのTD Bankの請求書、およびさまざまなFord社内プロジェクトファイルを見つけました。

(ZDnet記事より引用)

 

◆キタきつねの所感

一時期よりAWS設定ミスのニュースは減ってきた気がしますが、またUpGuard社が見つけてしまった様です。AWS S3からの「意図しない公開」という事になるのですが、UpGuard社が漏洩した訳ではないので、正確には外から閲覧できる危険な状態であったと「発表されてしまった」という事なのだと思われます。

 

言い方が悪いのですが、ホワイトハッカーが勝手に攻撃した様なものなのですが、UpGuard社は過去にも多くの「設定ミス」を発表してきた事でも有名です。

 

元記事はこちらの様です。

www.upguard.com

 

意図せずに公開されていた(かもしれない)データは、1テラバイトあり、その中には750GBの圧縮された電子メールのバックアップが含まれている他、従業員のOneDriveアカウントのバックアップもあった様です。機微な情報がやはり含まれていた様で、サンプリングされたデータには、従業員が仕事を遂行するために必要な幅広い情報(電子メールのやり取り、システムパスワード、販売およびマーケティングの連絡先情報、プロジェクト仕様など)あったという事です。

 

Attunityのサービスは、2000以上の企業とFortune 100の半分が使用しており、それらの会社を含む、クライアントリストや、関連ファイルが見つかっており、もしブラックハッカーがこれを利用できたとすると、非常に大きな事件に発展していた可能性があります。

 

UpGuardが記事中で公開しているデータサンプルを見た感じでは、パスワードファイル(平文の模様)、給与情報を含む従業員の個人情報まで含まれており、バックアップコピーが悪意の第三者に取られてしまうと、(Fortune企業50社を含む)大型インシデントに発展していた可能性があります。

 

UpGurad社のこの手の発表を何度見たか分かりませんが、Amazonが設定ミスへの警告を何度出しても、設定ミスは無くならない(定期的にレポートが出てくる)事から、クラウド上の情報」は「安全ではないかも知れない」という理解の元に、設定ミスやプロセスエラーを定期的にチェックしていかなければならないのは間違いないようです。

 

参考:

AWSサービスの進化 - Fox on Security

AWSは以前から警告を発している - Fox on Security

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

f:id:foxcafelate:20190629180457p:plain

更新履歴

  • 2019年6月29日PM(予約投稿)