ゲッティイメージズ/WIRED
何千人もの英国人のパスポートを含む機密情報が何年もの間、アマゾンのクラウド内に保護されないまま放置されてきたが、誰の責任なのかは不明だ。
ノアム・ロテムとラン・ロカーは、現在vpnMentorのために活動しているセキュリティ研究者です。昨年9月、彼らはエクアドル国民の大半の個人情報が安全対策の不十分なクラウドサーバー上に存在し、大きな話題となりました。数か月後、彼らはアメリカの通信会社によって同様の方法で数百万件ものプライベートメッセージが漏洩しているのを発見しました。今度は英国の番です。
今回、ロテム氏とロカール氏は、セキュリティ保護されていないAmazon Web Services(AWS)S3データベース、いわゆる「バケット」を発見しました。セキュリティ保護が全くなかったため、2人はそこに保存されていたすべてのファイルを閲覧することができました。その中には、パスポート、税務書類、求人応募書類、住所証明書、身元調査、経費精算書、署名入りの契約書のスキャンデータ、給与情報、メールなど、数千枚ものファイルが含まれていました。
ファイルには、氏名、住所、電話番号、生年月日、性別、国民保険番号など、幅広い個人識別情報が含まれていました。これは、なりすましや詐欺、あるいは標的型攻撃を実行するために犯罪者が必要とするあらゆる情報です。「誰かの個人情報を盗んだり、その人の名義で銀行口座を開設したり、その他多くの悪質な行為を行うために必要な情報がすべて揃っています」とロテム氏は言います。
彼らがこのデータを見つけ続けているのには理由がある。彼らはそれを探しているのだ。現在、二人はデータ漏洩をスキャンするウェブマッピング・プロジェクトに取り組んでいる。「ウェブマッピング・プロジェクトは、友人と自由時間に取り組んでいる趣味のようなものなんです」とロテムは言う。「インターネットの大部分をスキャンし、ハッキングを必要とせずに入手できるオープンデータベースに眠っているデータを見つけようとしているんです」。彼らはフォーチュン500企業や国防総省のデータを発見した。そして今度は、数年前に求職活動を行っていた数千人のイギリス人のデータを発見したようだ。
彼らが発見した英国関連のデータは2011年まで遡るものの、大部分は2014年と2015年のものであり、様々な人事関連コンサルティング会社に関連していました。これらの企業の多くは既に廃業しています。しかし、データの性質上、ハッカーにとって依然として価値のある情報である可能性があります。vpnMentorがAmazonに連絡した後、このデータは現在、Amazonによって保護またはオフライン化されています。
ロテム氏とロカー氏より前にデータが発見されたという証拠はないが、それを知る術はほとんどない。さらに、データの保護を怠った責任がどの企業にあるのかも不明だ(Amazonはそれを明らかにしていない)。つまり、情報コミッショナー事務局に報告できる人物がいないということだ。
ロテム氏とロカー氏の調査、あるいはvpnMentorが提供した情報からは、英国の人事データを漏洩したのがどの企業なのかは不明だ。データベースに記載されている企業のいくつかは、企業登記所によるとすでに閉鎖されているため、問題の企業もすでに閉鎖されている可能性がある。この企業は「CHS」というラベルが付けられていたが、その後、保護または削除された。「彼らが企業に連絡して漏洩したのか、それともAmazonが漏洩したのかは分かりません」とロテム氏は述べている。このデータ漏洩は国家サイバーセキュリティセンター(NCSC)にも報告されたが、同センターが対応するのに1ヶ月かかった。どうやらvpnMentorのメールがNCSCの迷惑メールフォルダに入っていたようだ。
ロテム氏は、これはAmazonの責任ではないと強調する。AWSには、S3バケットをプライベートに設定し、アクセス認証プロトコルを追加するなど、S3バケットを保護する簡単な方法がある。AWS S3はデフォルトでセキュリティ保護されているため、データを公開するにはアカウント所有者による手続きが必要となる。また、AWSはダッシュボードにデータが公開されている場合は明確に表示する。このずさんなバケットの所有者は、まだ正体不明だが、基本的な予防措置を講じていなかった。「Amazonはこのような事態を防ぐために多くの対策を講じています」とロテム氏は言う。「しかし、結局のところ、クライアントはシステムをオープンにしておくかどうかを決めることができます。そして今回のケースでは、クライアントはすべてを放置していたため、必要なのはウェブブラウザ、それも普通のウェブブラウザだけで、この情報をすべて取得できたのです。」
これほど多くの機密データが何年も放置されていたとは驚きかもしれないが、ロテム氏によると、これは日常茶飯事だという。「非常によくあることで、想像以上によくあることです」と彼は言う。実際、ロテム氏が公表するケースはもっと多い。彼とパートナーは、保護されていないデータを発見した後、毎週企業に連絡を取り、犯人が真摯に問題を解決しようとしている場合は、公表しないことを選択することが多いという。
Amazonはこの件についてコメントを控えたが、ロテム氏はAWSが予防措置を講じていると主張している。「AWSは顧客に対し、情報を保存するバケットが開かれているため、セキュリティ上の問題として確認する必要があると警告しています。人々はそれを無視する傾向があり、奇妙ですが、実際に起こっています」とロテム氏は述べ、当局は対策を促すために罰金を増額する必要があると示唆している。「おそらく無知と説明責任の欠如が組み合わさった結果でしょう。彼らは単に気にしていないのです。」ロテム氏とロカー氏に暴露された次の企業になりたくないのであれば、バケットをロックダウンすべきです。
2020年1月14日 09:20 BST更新: この記事は当初、vpnMentorがNordVPNと提携していると記載していました。
この記事はWIRED UKで最初に公開されました。
