2019年08月15日 10時05分 公開
特集/連載

過去にもたびたび発生「Amazon S3」内のデータが設定ミスで公開状態に 漏えいしたデータは?

Amazon Web Services(AWS)のオブジェクトストレージ「Amazon S3」でデータ漏えいが発生した。その中には、Ford MotorやNetflixなどの企業に関するデータが含まれていた。何が起きたのか。

[Michael Heller,TechTarget]
画像

 サイバーリスク管理会社UpGuardの調査チームは、Amazon Web Services(AWS)が提供するオブジェクトストレージ「Amazon Simple Storage Service」(Amazon S3)の設定ミスにより、データが公開状態になっていることを発見した。公開されていたデータの中には、Ford MotorやTD Bankなど複数の大企業の情報が含まれていた。

 公開状態になっていた3個のAmazon S3バケット(データ保存領域)を利用していたのは、データマネジメントベンダーAttunityだった。合計約1TBのデータのうち750GBは圧縮されたバックアップ用データだ。UpGuardのデータ漏えい調査チームによると、公開状態になっていたAttunityのデータには同社の社内文書の他、同社製品のユーザー企業であるFord、TD Bank、Netflixなどに関するドキュメントも含まれていたという。UpGuardの調査チームは、ブログの記事で次のように見解を示した。

2000社以上の企業のデータについて個別に報告することは不可能であり、「データ漏えいのリスクに関する意識を高める」という調査チームの目的の達成には必要ない。Attunityのビジネスは、データを保持し、集中的に分析できるようにすることだ。認証データ、情報、通信内容を公開することは、Attunityが扱うデータの安全性を脅かし得る。多くのファイルは何年も前のものだが、われわれが検知して報告した時点で当該バケットはまだ使用中で、発見から数日以内に変更されたファイルもあった。

 2019年5月6日、データ分析ツールベンダーQlik Technologies(以下Qlik)はAttunityを買収した。UpGuardはAttunityのデータが公開状態になっていることを同月13日に発見し、同月16日にAttunityに通知した。Qlikは同年2月半ばにはAttunityの買収に同意していたが、Attunityのセキュリティ監査を実施したかどうかについてはコメントしていない。Qlikは「当該バケットが保持していたのはAttunityの社内データのみであり、顧客データは含まれていなかった」という声明を出している。

 Attunityは、Amazon S3にある社内データの問題について2019年5月中旬に通知を受けた後、即座にデータの安全性を確保した。Attunity製品のユーザー企業はシステムを各社の環境で運用しており、Attunityはユーザー企業の機密データを保存したりホスティングしたりすることはないと説明する。Qlikのスポークスパーソンを務めるデレク・ライアンズ氏の説明では、QlikはAttunityを買収した後にこの問題を認識し、自社のセキュリティ基準と対策をAttunityのシステムにも適用したという。「QlikのSOC(セキュリティオペレーションセンター)による24時間365日の監視もその一つだ」(同氏)

公開されていたデータの中身

ITmedia マーケティング新着記事

news046.jpg

F1層(20〜34歳女性)に聞く「タピオカドリンクを飲む理由」――ミュゼマーケティング調べ
タピオカドリンクを購入する理由などを、20〜34歳女性1764人にリサーチしています。

news043.jpg

「GAFA」を脅威と言う前に正しく理解する――オプトホールディング鉢嶺 登氏インタビュー
『GAFAに克つデジタルシフト』(日本経済新聞出版社)を上梓したオプトホールディング代...

news015.jpg

ラグビーに関心を持つ人が急増――マクロミルと三菱UFJリサーチ&コンサルティングが調査
「2019年スポーツマーケティング基礎調査」の結果から速報値を紹介します。