先日取り上げたアマゾンのAmazon S3の設定ミスを狙う攻撃"GhostWriter"に関する反応の中で「アクセス権限のミスなんて有りうるのか?」という指摘があった。直接GhostWriterの例に該当するわけでは無いが、Amazon S3の設定ミスによって情報漏えい事故となってしまった事例は幾つか存在するので紹介したい。

■米Verizon、1400万人の顧客情報が誰でもアクセス出来る状態で公開

 2017年7月12日、米通信大手Verizonの加入者1400万人の個人情報が、Amazon S3上にURLさえ分かれば、誰でもアクセスしてデータをダウンロードできてしまう状態で公開されていた。

 この問題を発見したUpGuardによれば、問題のS3バケットはVerizonからコールセンターなどの業務を委託されたイスラエル企業、NICE Systemsが運用していた。UpGuardはこの問題を発見し、2017年6月13日にVerizonに連絡したが更正されたのは6月22日だったという。

■ダウジョーンズ、400万人の個人情報がアクセス可能な状態で公開

 こちらもUpGuardの調査で発覚した内容だ。ダウ・ジョーンズの出版物に対する数百万人の加入者の名前、住所、口座情報、電子メールアドレス、およびクレジットカード番号の最後の4桁の数字がAmazonのS3に保存されており、AWSのIDを保有しているユーザがURLを知っていればアクセス出来る状態で公開されていた。ダウ・ジョーンズは220万人の顧客が影響を受けていると述べているが、UpGuardはこの数字を400万人に近いと推定している。

■WWE、300万件の個人情報がアクセス可能な状態で公開

 Mackeeperの調査によれば、米国のプロレス興行団体WWE(World Wrestling Entertainment)が利用している、Amazon S3バケットにて2014~2015年に300万件の個人情報がアクセス可能な状態で公開されていた。

■アクセス権限の見直しを

 もはや企業の競争力向上、生産性向上のためには、Amazonのクラウドサービスを利用することは企業にとっては避けられない選択肢となっている。しかし、そこに保管しているデータの公開範囲の設定等については細心の注意が必要だ。最近では、こういったクラウドサービスの設定内容のセキュリティ上の欠陥を発見するCASBソリューションも登場しているため、こういったサービスを導入することで、安全にAWSを利用するということも検討する必要があるだろう。