Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

AWSの設定ミスは公的情報すら漏えいする

多くのサービスでクラウド利用が進んでいますが、米国のこの事件はクラウド利用の大前提である「情報保護」について改めて警鐘を鳴らしていると言えるかも知れません。
techcrunch.com

 

ユーザーが米国の州政府から出生証明書と死亡証明書のコピーを取得できるようにするオンライン会社は、個人情報を含むアプリケーションの膨大なキャッシュを公開しています。

出生証明書のコピー用の752,000を超えるアプリケーションがAmazon Web ServicesAWS)ストレージバケットで見つかりました。(バケットには90,400の死亡証明書アプリケーションもありましたが、これらにはアクセスまたはダウンロードできませんでした。)

バケットはパスワードで保護されていなかったため、推測しやすいWebアドレスを知っている人なら誰でもデータにアクセスできました。

(中略)

アプリケーションの日付は2017年後半で、バケットは毎日更新されていました。1週間で、同社はバケットに約9,000のアプリケーションを追加しました。

英国の侵入テスト会社Fidus Information Securityは、公開されたデータを発見しました。TechCrunchは、名前と住所を公開記録と照合してデータを検証しました。

(Techcrunch記事より引用)※機械翻訳

 

◆キタきつねの所感

今回データを発見したのはイギリスにあるFidusという外部のペンテスター(侵入テスト等を行う会社)です。特にリリース記事は無い様でしたが、この会社のみならずAWSではセキュリティ実装不備についてセキュリティ会社が何社か、定期的にこうした発表をしています。

参考:

AWSサービスの進化 - Fox on Security

AWSは以前から警告を発している - Fox on Security

 

今回もそうしたAWS設定ミスからの意図しないデータ公開となるのですが、ホワイトハッカーが見つけるという事は、外部のブラックハッカーは既に見つけているかも知れない、そうした観点でこうしたニュースを見る必要があります。

 

今回被害を受けたのは、カリフォルニア、ニューヨーク、テキサス等の州から委託を受けた、クラウドを利用したサービス提供会社(名前は出てません)の様です。

 

個人情報の取り扱いに関しては、米国でも強化され始めており、そうした中、各州の公的情報(個人情報)を取り扱うサービスプロバイダーが、どうやらAWSの設定が甘く、更に言えば出征証明書や死亡証明書の申請書コピーをパスワードすらかけずに、AWS上に置いていたという事はセキュリティ保護について何も意識してないと非難されるだけでなく、場合によっては各州政府(や漏えいした個人)から損害賠償請求を受けたとしても不思議ではありません

 

FidusとTechCrunchは公開前にいくつかの電子メールを送信して、公開されたデータを警告しましたが、自動化された電子メールのみを受信し、アクションは実行されませんでした。会社の名前は付けていません。到達すると、Amazonは介入しませんが、顧客に通知すると述べました。

(Techcrunch記事より引用)※機械翻訳

 

こうしたAWS等のクラウド上での意図しない情報公開(設定ミス)について、クラウドサービス事業者(アマゾン島)は何も担保してくれない事について、元々の発注主(州政府)も、クラウドを使ってのサービス提供者はもっと真剣に考えるべきであり、発注主は、もっと要件等でセキュリティ条件を記載すべきだと思います。

 

日本でも十分に起こり得る(起こっている)気がします。

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

ビッグデータのイラスト
 

 

更新履歴

  • 2019年12月15日AM(予約投稿)