2019年08月15日 10時05分 公開
特集/連載

過去にもたびたび発生「Amazon S3」内のデータが設定ミスで公開状態に 漏えいしたデータは?

Amazon Web Services(AWS)のオブジェクトストレージ「Amazon S3」でデータ漏えいが発生した。その中には、Ford MotorやNetflixなどの企業に関するデータが含まれていた。何が起きたのか。

[Michael Heller,TechTarget]
画像

 サイバーリスク管理会社UpGuardの調査チームは、Amazon Web Services(AWS)が提供するオブジェクトストレージ「Amazon Simple Storage Service」(Amazon S3)の設定ミスにより、データが公開状態になっていることを発見した。公開されていたデータの中には、Ford MotorやTD Bankなど複数の大企業の情報が含まれていた。

 公開状態になっていた3個のAmazon S3バケット(データ保存領域)を利用していたのは、データマネジメントベンダーAttunityだった。合計約1TBのデータのうち750GBは圧縮されたバックアップ用データだ。UpGuardのデータ漏えい調査チームによると、公開状態になっていたAttunityのデータには同社の社内文書の他、同社製品のユーザー企業であるFord、TD Bank、Netflixなどに関するドキュメントも含まれていたという。UpGuardの調査チームは、ブログの記事で次のように見解を示した。

2000社以上の企業のデータについて個別に報告することは不可能であり、「データ漏えいのリスクに関する意識を高める」という調査チームの目的の達成には必要ない。Attunityのビジネスは、データを保持し、集中的に分析できるようにすることだ。認証データ、情報、通信内容を公開することは、Attunityが扱うデータの安全性を脅かし得る。多くのファイルは何年も前のものだが、われわれが検知して報告した時点で当該バケットはまだ使用中で、発見から数日以内に変更されたファイルもあった。

 2019年5月6日、データ分析ツールベンダーQlik Technologies(以下Qlik)はAttunityを買収した。UpGuardはAttunityのデータが公開状態になっていることを同月13日に発見し、同月16日にAttunityに通知した。Qlikは同年2月半ばにはAttunityの買収に同意していたが、Attunityのセキュリティ監査を実施したかどうかについてはコメントしていない。Qlikは「当該バケットが保持していたのはAttunityの社内データのみであり、顧客データは含まれていなかった」という声明を出している。

 Attunityは、Amazon S3にある社内データの問題について2019年5月中旬に通知を受けた後、即座にデータの安全性を確保した。Attunity製品のユーザー企業はシステムを各社の環境で運用しており、Attunityはユーザー企業の機密データを保存したりホスティングしたりすることはないと説明する。Qlikのスポークスパーソンを務めるデレク・ライアンズ氏の説明では、QlikはAttunityを買収した後にこの問題を認識し、自社のセキュリティ基準と対策をAttunityのシステムにも適用したという。「QlikのSOC(セキュリティオペレーションセンター)による24時間365日の監視もその一つだ」(同氏)

公開されていたデータの中身

ITmedia マーケティング新着記事

news139.jpg

新型コロナウイルスの感染拡大で注目される「巣ごもり消費」に関する意識――カンム調査
外出控えムードの中、消費意欲は「自宅でのエンタメ」に向かっているようです。

news091.jpg

オンライン医療が進む中国と台湾、日本 iOS「メディカル」アプリ最新人気ランキング
今回は、2020年2月度における中国、台湾、日本市場におけるiOS「メディカル」モバイルア...

news137.jpg

SDGsへの取り組みが最も高く評価された企業はトヨタ自動車――ブランド総合研究所調査
国内の主力企業のSDGsへの取り組みやESG活動に対して1万500人に聞いています。