先週のクラウドセキュリティ:自治体専用IaaS大規模障害、SalesforceのHerokuが標的等
12月1日週と8日週にかけて発生した、クラウド関連のセキュリテイ・トピックをダイジェストでお伝えする。
■自治体専用IaaS「Jip-Base」障害により、一部の自治体の業務が停止
12月4日(水)10時56分頃から自治体専用IaaSサービス「Jip-Base」に障害が発生し、同サービスを利用する一部の自治体では、税務処理や戸籍管理のシステムが使えない状態が続いている。
原因はストレージのファームウェア不具合によるものと推測されているが、同問題が解決してもなお、動作確認にて各種データへのアクセス処理が正しく動作しない事象が判明しており、全面復旧に時間を要している。
■SalesforceのHerokuを狙うMagecartの攻撃が発見される
インターネットを利用してクレジットカードをスキミングするサイバー犯罪集団、Magecart。アマゾンS3を標的としたキャンペーンの存在が確認されていたが、Salesforceが提供するPaaS、Herokuも標的になっていることが確認された。
Herokuにはフリーミアムモデルがあり、新規ユーザーは制限付きで無料のWebホスティングサービスを試すことが可能になるが、攻撃者らはこの無料で利用出来るアカウントを悪用した。ハックしたECサイトの支払いフォーム等をiFrameでオーバレイし、クレジットカード情報を盗み出す。既に本問題を發見したMalwareByteによってSalesforceに報告され、既に該当するホストは停止されているとのこと。
■S3上に保存されていた米国の出生証明書の申請データ75万件が流出
米国政府が発行する出生証明の申請書75万2000件以上がAWSのS3上で見つかった。このS3バケットはパスワードで保護されておらず、誰でもアクセス出来る状態にある。また、死亡証明書の申請書9万400件も保管されていたが、こちらはアクセスやダウンロードができない状態となっていたとのこと。
本インシデントは英国の侵入テスト会社であるFidus Information Securityによって発見され、複数回の警告メールをシステム管理者に送付しているが何のアクションも取られていないとのこと。
■米Sprintの請負業者が誤ったS3の設定によって26万件に及ぶ請求書等を公開
英国に本拠を置く侵入テスト会社Fidus Information Securityは、AWSのS3上に公開されていた携帯電話の請求書を発見した。同社が発見した際にはこのデータには、パスワードや暗号化といった処置はされておらず、誰もが中身を確認出来る状態であった。その後の調査によって、このS3バケットの所要者が米Sprintの請負業者の物であり、そこには、261,300を超えるドキュメントが存在することがわかった。そのドキュメントの中にはSprintだけでなく、AT&T、Verizon、およびT-Mobileの顧客に関する物も含まれていたことがわかった。
保存されたデータには、名前、住所、電話番号、多くの通話履歴が含まれており、場合によっては、銀行取引明細書や、加入者のオンラインユーザー名、パスワード、アカウントPINが記載されたWebページのスクリーンショットといった機密性の高い情報も含まれていたことがわかった。FidusはAWSにこの問題を報告し、既に同S3バケットの権限設定はプライベートへと変更されており、外部から参照出来ないようになっている。
■タフト&ニードル、誤ったS3の設定によって23万件の配送ラベル情報を公開
マットレスと寝具販売大手のタフト&ニードルは、顧客名、住所、電話番号を含む236,400件のFedEx配送ラベル情報を、誤った設定のS3に保存し、誰でもアクセス出来る状態となっていた。
英国の侵入テスト会社Fidus Information Securityによって発見され、既にタフト&ニードルに報告されており、本事象は解決されている。