2020年1月19日週に気になったクラウドセキュリテイトピックをダイジェストでお伝えする。なお本トピックで取り上げる基準はクラウドサービスに関するトピックや、クラウドサービス固有のセキュリテイインシデントによって発生したセキュリテイインシデントを対象としており、エンドポイント関連やマルウェア等は対象としていない。

■NIST、プライバシーフレームワークのバージョン1.0をリリース

　NISTは、プライバシーフレームワークのバージョン1.0をリリースした。

　NISTプライバシー・フレームワークは、法律や規制では無く、組織が製品やサービス利用から生じるプライバシー・リスクを管理し、米国カリフォルニア州消費者プライバシー法や、EUのGDPRなどの遵守状況を証明するのに役立つツール。利用は任意であり、組織が達成したいプライバシー上の成果を特定し、達成するために必要なアクションの優先順位を決定するのに役立つ。

■マイクロソフト、2億5千万件のカスタマサポートログを誤って公開

　マイクロソフトの2億5千万件に及ぶカスタマサポートの記録が誤って誰でもアクセス可能な状態で公開されていた。2020年1月22日、マイクロソフトは同社ブログで本インシデントについて公開した。それによれば、2019年12月5日 (米国時間) にデータベースのネットワーク セキュリティグループに変更を加えた結果、データを公開状態とする設定が、誤って構成されたとのこと。

■AWS S3バケットの誤設定に関するトピック

　・30,000件を超える大麻治療患者の診療データが誤って公開されていた

　　大麻業界のPOSシステムであるTHSuiteが利用するAWSのS3の権限が誤って設定されており、30,000件を超える個人情報と、85,000件を超えるファイルが誤って公開されていたこと。インターネットプライバシー研究者のNoam Rotem氏とRan Locar氏が率いるvpnMentorの研究チームによって発見された。

　　vpnMentorによれば、公開されていたファイルには医療用マリファナの患者や、娯楽用マリファナユーザ、従業員等のデータが含まれていたという。これらのデータの中には氏名や住所情報の他、購入した大麻の種類や量も含まれていた。vpnMentorは誤設定を発見後、AWSに報告し既に本問題は修正されている。

　・アダルト系アフィリエイト「PussyCash」の情報19.95GBが誤って公開

　アダルトサイト等を対象とするアフィリエイトネットワークを運営するPussyCashのS3の情報が誤って公開されていた。875,000ファイルを超える19.95GBのデータが公開状態となっていた。

　公開されていたデータには、アフィリエイトプログラムに参加しているユーザーの氏名や住所だけでなく、パスポート/ ID番号や指紋情報、写真付きの運転免許証、更には家族構成といった、個人を証明する機密性の高い情報が含まれていた。

　vpnMentorによって発見されたこのS3バケットは、AWSに通知され既に修正されている。