コンプライアンス
クラウドストレージの誤設定による情報漏えいが続発
法人組織でのクラウド利用が進む中、様々なデータの置き場所もクラウドへ移行しています。クラウドは利便性が高いものですが、その利便性ゆえに設定の不備が思わぬ事態を招くこともあります。この2月以降、米国と英国でクラウドストレージの設定ミスによる情報漏えいが連続して発生しています。いずれもクラウドストレージに問題はなく、利用者の不備が原因となった事例でした。
法人組織でのクラウド利用が進む中、様々なデータの置き場所もクラウドへ移行しています。クラウドは利便性が高いものですが、その利便性ゆえに設定の不備が思わぬ事態を招くこともあります。この2月以降、米国と英国でクラウドストレージの設定ミスによる情報漏えいが連続して発生しています。いずれもクラウドストレージに問題はなく、利用者の不備が原因となった事例でした。
■米国の事例:受刑者情報3万6千件が露出
AWSのストレージサービスAmazon S3の「バケット(Bucket)」が、セキュリティ保護および暗号化されていなかったために、米国の刑務所に収容されている受刑者についての記録36,077件が露出していたことが判明しました。漏えい源となったのは、刑務所や矯正施設の管理に利用されるクラウドベースのアプリケーションである「JailCore」のデータ保存場所でした。この事例を報告した仮想プライベートネットワークの案内サイト「vpnMentor」のリサーチャによれば、ポートをスキャンして脆弱なシステムを特定するWebマッピングを通じて最初に漏えいを発見しました。その後、調査の結果をJailCoreに報告し、漏えい源であったバケットは数日後に閉じられています。
リサーチャによれば、露出していたデータには、受刑者の氏名、生年月日、番号、顔写真、監房の位置などの個人識別可能情報(PII)が含まれていました。受刑者への処方薬の記録も公開されており、薬の名前、投与量、開始日および終了日、処方量および残量、投与日時、受刑者が処方薬を服用したかそれとも拒否したか、加えて受刑者の氏名及び、これらの薬物を投与した刑務官の署名も一部には含まれていました。その他、受刑者の排泄、入浴、食事、面会、娯楽、荷物の受領、清掃など詳細な活動内容、規定人員と役員監査の記録も含まれていました。
JailCoreの担当者は、漏えいした記録のほとんどは、アプリケーションをテストする目的で作成された架空の受刑者のものであった、と主張しています。ただし、漏えいしたファイルのいくつかには実際の受刑者に関するデータが含まれていたことを認めた上で、それらのデータには受刑者の個人情報は含まれていなかったと述べています。
■英国の事例:電車通勤者の情報1万人分が漏えい
英国の「Network Rail」社が管理する駅で無料Wi-Fiサービスを利用する乗客についての情報漏えいが報道されました。漏えいしたと見られる情報には、約1万人分の乗客のメールアドレスなどの連絡先情報、生年月日、また乗車の理由が含まれていたとされています。影響を受けた駅には、London Bridge、Chelmsford、Colchester、Harlow Mill、Wickford、Waltham Crossが含まれていました。
この漏えいを発見した「Security Discovery 」のリサーチャJeremiah Fowler は、Amazon Web Services (AWS )クラウドストレージ上のデータベースがパスワード保護されていない状態で露出していたことを確認しました。このようなセキュリティ保護されていないデータベースは、マルウェア感染の二次的な侵入口として利用されることがあり、危険な状態と言えます。この事実は、問題の無料Wi-Fiサービスのプロバイダである「C3UK」に報告されました。C3UKは、データストレージにアクセスできるのは彼らとセキュリティチームのみであったと考えており、データが露出していることを知らなかったと述べています。また、露出していたデータベースは実際のデータベースのバックアップコピーであったとのことです。C3UKはその後、問題のデータベースをセキュリティ保護し、また、英国のデータ保護監督機関である「Information Commissioner's Office(ICO)」に通知しないと決定したことを明らかにしました。これは、露出していたデータについては誰からも窃取されたり、アクセスされたりしていないため、とのことです。
■クラウドストレージサービスを保護するためには
クラウドプロバイダは、多くのセキュリティ機能を実装しています。しかし、これらの多くはハイパーバイザーなどのインフラストラクチャを保護するものです。クラウドプロバイダは、ユーザ側にもセキュリティの責任範囲を定めており、例えばIaaSの場合、ユーザがすべてのデータ、アプリケーション、そしてオペレーティングシステムに責任を持ち、そしてユーザ自身がそれらを保護する責任があるとしています。つまり、クラウドストレージサービスに付属するセキュリティ機能について、その設定方法と保存データの保護は、最終的にはユーザの役目です。以下は、ユーザがクラウドストレージシステムのセキュリティを強化するために実行できるいくつかの手順です。
- 使用するクラウドストレージのセキュリティ設定について意識して学ぶ
多くのユーザはクラウドサービスには当然セキュリティが含まれていると考えており、自動的にセキュリティ設定が行われる「プラグ&プレイ」であると思い込んでいることも多いようです。しかし実際には、設定によって重要なデータがインターネットに対して公開状態になってしまう可能性があります。クラウドサービスを適切に保護するため、クラウドの開発者とITセキュリティチームも、セキュリティ設定について理解する必要があります。
- IDやアクセスの管理と認証強化
初期設定のパスワードを変更し、定期的に更新しましょう。サイバー犯罪者は、クラウドストレージが初期設定でどのような状態かを知っています。またよく利用されるパスワードのリストを入手しており、脆弱なシステムを精力的に検索して侵入可能なシステムを特定します。破られにくい強力なパスワードの使用は、脅威に対抗するための重要な一歩となります。IDおよびアクセスの管理と認証を強化するためのベストプラクティスに従うことが重要です。
また特に法人においては、セキュリティ保護されていないデータが自組織に多大なリスクをもたらすことを認識しましょう。EUのGDPRをはじめ、PCI-DSS、HIPAAなど様々なデータ保護およびプライバシーに関する規制が存在します。これらの規制は、個人を特定できる情報を企業が保護することを義務付けており、情報漏えい被害が発生した場合には罰金が科せられたり、事業の停止に繋がったりする可能性があります。
■トレンドマイクロの対策
トレンドマイクロではHybrid Cloud Security ソリューションとして、物理、仮想、クラウド、コンテナ環境におけるセキュリティ管理の効率化と可視化を提供します。Hybrid Cloud Securityソリューションの主要製品であるTrend Micro Deep Security™は、インスタンスを自動で検出し、エージェントを展開することで、クラウド環境全体を可視化し、保護します。また、多くの要件に対応し、監査証拠を効率的に収集して、継続的なコンプライアンスの実践を支援します。
参考記事:
- 「 Misconfigured AWS S3 Bucket Leaks 36,000 Inmate Records 」
by Trend Micro
- 「 Data of U.K. Train Commuters Leak from Misconfigured AWS Cloud Storage 」
by Trend Micro
記事構成:岡本勝之(セキュリティエバンジェリスト)
翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)