本文へスキップ
インテリジェンス・ダイジェスト

安全でないサーバーが人命を危険にさらす - It's Plane To See - Unsecured Servers Can Put Lives at Stake

Amazon S3バケットから3TB相当の空港機密データが流出した件

2022年7月6日

Rodman Ramezanian - Enterprise Cloud Security Advisorによるものです。

安全でないサーバーにより、コロンビアとペルーにある空港の従業員が所有する機密データが流出しました。2018年までさかのぼる約3TBのデータを含むAWS S3バケットは、空港従業員の記録、IDカードの写真、氏名、写真、職業、国民ID番号などの個人を特定できる情報(PII)で構成されていました。

空港のセキュリティは旅行者と空港職員の命を守っている。そのため、 SafetyDetectivesによって発見されたこの侵害は、バケットのコンテンツが悪人の手に渡った場合、壊滅的な結果をもたらす可能性がある非常に危険なものです。コロンビア、ペルー、そして世界中で、ゲリラ犯罪者やテロ組織がこの安全でないAWS S3バケットにアクセスした場合、深刻な脅威となります。

悲しいことに、このような侵害やインシデントは、クラウドでつまずく組織の目新しさやユニークさとは無縁のものです。

問題の一つは、COVID-19の大流行により、従業員のリモートワークを実現するために、多くの組織がクラウド導入のプロセスを予想外のスピードで進めていることです。予想通り、脅威の担い手やAPTグループは、このような見通しを喜んでいます。

図 1.AWS にデプロイされた非準拠 IaaS リソース数:Skyhigh Security.

これらの情報漏えいはどのようにして発生したのでしょうか?

パブリック・クラウドの利用を管理できていない組織の多くは、機密データを不適切に共有している。残念なことに、このようなニュースの見出しは、単純だが有害な設定ミスによるデータ漏洩の例を強調している。ID管理、アクセス許可、セキュアな設定、データ保護など、さまざまな問題が複雑に絡み合っているため、クラウドのセキュリティ・ハイジーン(衛生管理)が十分でなく、最終的にはデータ流出につながっている。

何ができるのか?

理想的には、読み書きの権限を厳格化することが、最初に思いつく唯一の反応かもしれない。Skyhigh Security 、多くのクラウドプラットフォームに緊密に統合されているため、多くの基本的な機能を適用することで、これらの課題に対処し、関連するリスクを最小限に抑えることができる。

ランサムウェア攻撃や犯罪行為による世界的な侵害が後を絶たない中、Skyhigh Securityのクラウドセキュリティ態勢管理、脆弱性評価、構成監査、データ保護機能は、マルチクラウド環境のストレージ管理に関連する複雑さを軽減しながら、最適なセキュリティを継続的に適用することで組織を支援します。

図 2. Skyhigh Security クラウドサービスの構成監査(フィルタリングされた結果)。

 

Skyhigh Security?

ロッドマン・ラメザニアン

著者について

ロッドマン・ラメザニアン

エンタープライズクラウドセキュリティアドバイザー

サイバーセキュリティ業界で11年以上の豊富な経験を持つRodman Ramezanianは、エンタープライズ・クラウド・セキュリティ・アドバイザーとして、Skyhigh Security でテクニカル・アドバイザリー、イネーブルメント、ソリューション・デザイン、アーキテクチャを担当しています。この職務において、Rodmanは主にオーストラリア連邦政府、防衛、および企業組織を対象としている。

Rodmanは、敵対的脅威インテリジェンス、サイバー犯罪、データ保護、クラウドセキュリティの分野を専門としています。現在、CISSP、CCSP、CISA、CDPSE、Microsoft Azure、MITRE ATT&CK CTIの各認定を取得しています。

ロッドマンは、複雑な事柄をシンプルな言葉で表現することに強い情熱を持ち、一般の人々や新しいセキュリティ専門家がサイバーセキュリティの何を、なぜ、どのように理解できるように支援します。

アタックハイライト

  • セキュリティサービスプロバイダーが、~150万ファイル(3TB)を含むAWS S3バケットを誤って設定した。
  • 安全でないバケツは、一般にアクセス可能で、オープンで、アクセスに認証を必要としない。
  • コロンビアとペルーの少なくとも4つの空港で、従業員の個人情報および会社の機密情報を含む情報が流出しました。
  • データには、航空会社の従業員、飛行機、燃料ライン、国民IDカード、GPS地図座標、荷物の写真も含まれていた
  • バケットに含まれるAndroidモバイルアプリは、セキュリティ担当者がインシデントの報告やデータの取り扱いに役立てるために使用します。
  • 流出した空港の写真付きIDカードは、テロ組織や犯罪集団からの重大な脅威を提示している