「Amazon S3」内のデータが設定ミスで公開状態に 漏えいしたデータは?過去にもたびたび発生

Amazon Web Services(AWS)のオブジェクトストレージ「Amazon S3」でデータ漏えいが発生した。その中には、Ford MotorやNetflixなどの企業に関するデータが含まれていた。何が起きたのか。

2019年08月15日 10時05分 公開
[Michael HellerTechTarget]
画像

 サイバーリスク管理会社UpGuardの調査チームは、Amazon Web Services(AWS)が提供するオブジェクトストレージ「Amazon Simple Storage Service」(Amazon S3)の設定ミスにより、データが公開状態になっていることを発見した。公開されていたデータの中には、Ford MotorやTD Bankなど複数の大企業の情報が含まれていた。

 公開状態になっていた3個のAmazon S3バケット(データ保存領域)を利用していたのは、データマネジメントベンダーAttunityだった。合計約1TBのデータのうち750GBは圧縮されたバックアップ用データだ。UpGuardのデータ漏えい調査チームによると、公開状態になっていたAttunityのデータには同社の社内文書の他、同社製品のユーザー企業であるFord、TD Bank、Netflixなどに関するドキュメントも含まれていたという。UpGuardの調査チームは、ブログの記事で次のように見解を示した。

2000社以上の企業のデータについて個別に報告することは不可能であり、「データ漏えいのリスクに関する意識を高める」という調査チームの目的の達成には必要ない。Attunityのビジネスは、データを保持し、集中的に分析できるようにすることだ。認証データ、情報、通信内容を公開することは、Attunityが扱うデータの安全性を脅かし得る。多くのファイルは何年も前のものだが、われわれが検知して報告した時点で当該バケットはまだ使用中で、発見から数日以内に変更されたファイルもあった。

 2019年5月6日、データ分析ツールベンダーQlik Technologies(以下Qlik)はAttunityを買収した。UpGuardはAttunityのデータが公開状態になっていることを同月13日に発見し、同月16日にAttunityに通知した。Qlikは同年2月半ばにはAttunityの買収に同意していたが、Attunityのセキュリティ監査を実施したかどうかについてはコメントしていない。Qlikは「当該バケットが保持していたのはAttunityの社内データのみであり、顧客データは含まれていなかった」という声明を出している。

 Attunityは、Amazon S3にある社内データの問題について2019年5月中旬に通知を受けた後、即座にデータの安全性を確保した。Attunity製品のユーザー企業はシステムを各社の環境で運用しており、Attunityはユーザー企業の機密データを保存したりホスティングしたりすることはないと説明する。Qlikのスポークスパーソンを務めるデレク・ライアンズ氏の説明では、QlikはAttunityを買収した後にこの問題を認識し、自社のセキュリティ基準と対策をAttunityのシステムにも適用したという。「QlikのSOC(セキュリティオペレーションセンター)による24時間365日の監視もその一つだ」(同氏)

公開されていたデータの中身

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia マーケティング新着記事

news123.jpg

「親になったZ世代」にどうやってモノを売る?(無料eBook)
消費者が常に変化している以上、マーケティングの在り方も変わっていかざるを得ません。...

news078.jpg

2024年ホリデーシーズン、米企業はどう挑む? マーケターが直面する課題とは
消費者の記録的な消費意欲を背景に、2024年のホリデーマーケティングキャンペーンは、メ...

news190.png

Pontaデータを活用して企業のLINE公式アカウントやLINE広告の効果を分析 何ができる?
従来のPontaデータを活用したメッセージ配信や広告配信と組み合わせることで、LINEを使っ...