先週のクラウドセキュリティ:キャピタルワンの情報漏洩について、上院議員はアマゾンの過失を調査
10月20日週にかけて発生した、クラウド関連のセキュリテイ・トピックをダイジェストでお伝えする。
■米上院議員がキャピタルワンの情報漏洩事故について、AWS側の過失調査を要求
2019年を代表するセキュリテイ・インシデントとなった、キャピタルワンの大規模情報漏洩。この事件ではAWS上に構築されていたサーバーがサイバー攻撃者によってSSRF攻撃を受け、1億人以上のアメリカ市民と600万人のカナダ人の個人情報が盗まれた。
このキャピタルワンのセキュリテイインシデントについて、エリザベスウォーレン上院議員とロンワイデン上院議員は、連邦取引委員会にてアマゾンを調査するよう求めている。
上院議員の主張は、このサイバー攻撃に利用された、SSRF攻撃について、AWSの競合で有る、Googleは2013年、Microsoftは2017年にSSRF攻撃に対する保護を開始しており、AmazonもAWSがSSRF攻撃に対して脆弱であることを知っていたか、知っていたはずであり、Amazonは競合がSSRF攻撃に対して対策を講じていたにも関わらず、欠陥のあるクラウドコンピューティングサービスを企業、政府機関、および一般の人々に販売し続けていた、というもの。
この主張に対して、AWSの広報担当はCNBCに対してこう回答している。
「この手紙の主張は根拠のないものであり、日和見主義的な政治家による宣伝の試みである。Capital Oneが説明したように、実行者はCapital Oneファイアウォールのアプリケーション層の設定ミスを攻撃しました。この事件で使用されたSSRF技術は、犯人が会社のシステムにアクセスした後に取った多くのステップのうちの1つにすぎず、すでにアクセスレベルが得られていれば、他の多くの方法に取って代わられた可能性があります。」
出典:CNBC:Sens. Warren and Wyden urge FTC to investigate Amazon’s role in Capital One hack
AWSの見解としては、設定ミスが原因で有り、SSRF攻撃は攻撃全体の1ステップに過ぎず、上院議員らの主張には根拠が無いと一蹴している。しかし、もし、上院議員らの主張が認められるような動きになれば、設定ミスに起因する情報漏洩であったとしても、プラットフォーム提供者にも責任が発生するということになる。これまでIaaS事業者は「責任共有モデル」というセキュリティの責任分界点を設けており、設定ミスにより発生したセキュリティ・インシデントについては、ユーザー側の過失で有り、事業者側は責任を追わないとしてきた。FTCの判断によっては、こういった責任共有モデルの在り方が根本的に覆ることになるかもしれない。
■Adobe Creative Cloudユーザー、750万件のデータが誤って公開される
Adobe Creative Cloudユーザー750万件の、eメールアドレス、アカウント情報、使用しているアドビ製品情報が、誤って公開されていた。原因は、誤って構成されていた、Elasticsearchサーバー。クレジットカード番号やパスワード等の機密性の高い情報は含まれていなかったが、eメールアドレスや、利用製品の情報が含まれていたため、アドビ製品ユーザを対象とした高度なフィッシングキャンペーンに利用される恐れがあった。
■CenturyLink、誤って構成されたMongoDBにより280万件の顧客情報を公開
セキュリティ研究者のボブディアチェンコとComparitech Ltd.の研究者は、CenturyLinkの顧客情報を含むMongoDBが誤って公開されていたことを発見した。
CenturyLinkは米国で6番目に大きいISP。公開されたデータのタイプは、API通信のログであり、顧客レコードは暗号化されていない状態で、次のデータを保持していた。名前、電子メールアドレス、電話番号、物理アドレス、CenturyLinkアカウント番号、通知ログ、会話ログ。約280万件の顧客情報が含まれていた。なお、このデータベースは、最低でも2018年11月17日から2019年9月17日の期間公開されていたとのこと。
■AWSの設定ミスによって、ベストウェスタンが所有するホテル利用者の個人情報が公開される
vpnMentorのセキュリティ研究者は、AWS上に構築された、Elasticsearchサーバーのデータが公開されており、そこには約179ギガバイトにも及ぶBest Western Internationalが所有するホテル利用者の個人情報が含まれていたことを発見した。公開されていたデータには、名前、生年月日、自宅の住所、電話番号、旅行の日付と費用、クレジットカードの詳細、チェックイン時間と部屋番号が含まれていた。更に、データベースの詳細の一部には、米国政府、軍隊、および国土安全保障省のメンバーが含まれていた。
■ニューヨーク、データのプライバシーとセキュリティ保護を強化
2019年7月25日、プライバシー法とデータセキュリティ法を制定する増え続ける州のリストに加わり、ニューヨーク州知事は「SHIELD法」に署名し、州のデータ漏洩通知とサイバーセキュリティ法を修正した。シールド法の違反通知の改正は2019年10月23日に発効し、新しいデータセキュリティ要件は2020年3月21日から発効する。
本規制はクラウドに限定された規制では無いが、非金融、非医療といったグレーゾーンとなっている領域へのデータセキュリティ/プライバシー規制と推測される。
SHIELD法は、次の方法で、企業に対してより広範なデータ・セキュリティおよびデータ侵害通知要件を課している。
・個人情報(社会保障番号や運転免許証番号など)、生体情報、メールアドレスに対応するパスワードや秘密の質問・回答を付与するなど、通知法の「個人情報」の範囲を拡大
・システムのセキュリティの「違反」の定義を拡大し、個人情報のセキュリティ、機密性、または完全性を損なうデータへの不正アクセスを含める
・ニューヨークで業務を行う者だけでなく、ニューヨーク居住者の個人情報を有する個人または団体に対する違反通知要件の適用範囲の拡大
・個人情報の侵害があった場合に企業および州の機関が従うべき通知要件および手順の更新
・企業が、個人情報のセキュリティ、機密性、および完全性を保護するための合理的な保護策を実施するための要件を作成する。
ニューヨークに所在する事業主、またはニューヨーク住民の個人情報を所有する事業主は、これらの新しい修正条項に準拠するために、データ・セキュリティ・プログラムを確認および更新する必要がある。
