「Amazon S3」内のデータが設定ミスで公開状態に 漏えいしたデータは？：過去にもたびたび発生

Amazon Web Services（AWS）のオブジェクトストレージ「Amazon S3」でデータ漏えいが発生した。その中には、Ford MotorやNetflixなどの企業に関するデータが含まれていた。何が起きたのか。

[Michael Heller，TechTarget]

　サイバーリスク管理会社UpGuardの調査チームは、Amazon Web Services（AWS）が提供するオブジェクトストレージ「Amazon Simple Storage Service」（Amazon S3）の設定ミスにより、データが公開状態になっていることを発見した。公開されていたデータの中には、Ford MotorやTD Bankなど複数の大企業の情報が含まれていた。

　公開状態になっていた3個のAmazon S3バケット（データ保存領域）を利用していたのは、データマネジメントベンダーAttunityだった。合計約1TBのデータのうち750GBは圧縮されたバックアップ用データだ。UpGuardのデータ漏えい調査チームによると、公開状態になっていたAttunityのデータには同社の社内文書の他、同社製品のユーザー企業であるFord、TD Bank、Netflixなどに関するドキュメントも含まれていたという。UpGuardの調査チームは、ブログの記事で次のように見解を示した。

2000社以上の企業のデータについて個別に報告することは不可能であり、「データ漏えいのリスクに関する意識を高める」という調査チームの目的の達成には必要ない。Attunityのビジネスは、データを保持し、集中的に分析できるようにすることだ。認証データ、情報、通信内容を公開することは、Attunityが扱うデータの安全性を脅かし得る。多くのファイルは何年も前のものだが、われわれが検知して報告した時点で当該バケットはまだ使用中で、発見から数日以内に変更されたファイルもあった。

併せて読みたいお薦め記事

AWSサービスとセキュリティ

• 金融機関がAWSでクラウド化　セキュリティ対策とコスト管理を両立させるには
• AWS障害に学ぶ、万一クラウド障害が起きても動き続けるシステムとは？
• AWSのネットワークはAzureやGCPより高リスク？　監視企業がレポート

クラウドサービスのセキュリティで気を付けること

• 「クラウドセキュリティ」の5大脅威　「API」「IoT」から人的ミスまで
• 「CASB」（Cloud Access Security Broker）製品の失敗しない選び方　4つのポイント

　2019年5月6日、データ分析ツールベンダーQlik Technologies（以下Qlik）はAttunityを買収した。UpGuardはAttunityのデータが公開状態になっていることを同月13日に発見し、同月16日にAttunityに通知した。Qlikは同年2月半ばにはAttunityの買収に同意していたが、Attunityのセキュリティ監査を実施したかどうかについてはコメントしていない。Qlikは「当該バケットが保持していたのはAttunityの社内データのみであり、顧客データは含まれていなかった」という声明を出している。

　Attunityは、Amazon S3にある社内データの問題について2019年5月中旬に通知を受けた後、即座にデータの安全性を確保した。Attunity製品のユーザー企業はシステムを各社の環境で運用しており、Attunityはユーザー企業の機密データを保存したりホスティングしたりすることはないと説明する。Qlikのスポークスパーソンを務めるデレク・ライアンズ氏の説明では、QlikはAttunityを買収した後にこの問題を認識し、自社のセキュリティ基準と対策をAttunityのシステムにも適用したという。「QlikのSOC（セキュリティオペレーションセンター）による24時間365日の監視もその一つだ」（同氏）

公開されていたデータの中身