Amazonのクラウド上には暗号化されていない個人情報が転がっている
By martinak15
アマゾンウェブサービスが提供しているクラウドストレージ「Amazon S3」で、推測可能なURLから個人情報にアクセスできる危険性があることが指摘されています。
Thousands of Amazon S3 buckets left open exposing private data
http://www.net-security.org/secworld.php?id=14669
これは、セキュリティ対策ソフトウェア会社Rapid7のセキュリティ研究者・Will Vandevanterさんが指摘しているもの。
Amazon S3は容量無制限のオンラインストレージサービスで、サーバのバックアップからログ、一般に公開するサイトの画像やPDFファイルまで、いろいろなものを置いておくのに便利です。サービスでは、ファイルは「バケット(buckets)」と呼ばれるコンテナに格納されて、それぞれ任意のURLが与えられます。
By Cubosh
このバケット自体と、バケット内の個別のファイル・フォルダと、それぞれ別個にアクセス制御を行うことができます。バケットが「パブリック」になっていると中に格納されているコンテンツのリストを誰でも見ることができますが、「プライベート」に設定されていると特定のユーザーしか見ることができなくなります。
バケットがパブリックなのかプライベートなのかを調べることは非常にカンタン。バケットのURLはデフォルトで
・http://s3.amazonaws.com/[bucket_name]/
・http://[bucket_name].s3.amazonaws.com/
のどちらかになるので、直接URLを入力してアクセスするだけ。
プライベートに設定されているバケットであれば「アクセスが拒否されました」というメッセージが表示されてバケットの中身は表示されませんが、パブリックであればバケット内にあるコンテンツの冒頭1000件のリストが表示されます。パブリックなバケットで、かつファイルがダウンロード可能な状態になっていると、そこから個人情報が漏れてしまう恐れがあるというわけです。
By lindyi
Vandevanterさんが指摘する最悪のケースは、バケットがパブリック設定になっていて、取り扱いに注意が必要なファイルのリストが漏れてしまい、それらのファイルに対してもアクセス制御が行われていなかったとき。ファイルへのアクセス制御が行われていたという場合でも、ファイル名やどれぐらい頻繁にバックアップされているのかというような情報が漏れてしまうことになります。
「パブリックなバケット」の問題についてはフリーランスのセキュリティテスター・Robin Woodさんが調査を行ったことがあり、その結果によると、1万2328件のバケットのうち、パブリックが1951、プライベートが1万377でした。つまり、だいたい6つに1つのバケットはオープンになっているという状態です。
この1951のパブリックバケットからは1260億以上のファイルのリストが取得できました。そのうち、中身を見ることができたファイル4万点について調べてみると、以下のような情報が含まれていました。
・中規模ソーシャルメディアサービスに投稿された個人的な写真
・大手自動車ディーラーのアカウント情報と販売記録
・広告会社のクライアントのアカウント情報とアフィリエイト追跡情報やCTRといったデータ
・従業員の個人情報や会員リストなど、いろいろなスプレッドシート
・ウェブサイトのデータや暗号化されたパスワードを含む、保護されていない状態のデータベースバックアップ
・モバイルゲーム開発会社の開発ツールとゲームのソースコード
・ユーザ名とパスワードを含む、設定ファイル入りのPHPのソースコード
・大手ソフト会社の「バトルカード」売り上げ
ファイルの約60%は写真や画像で、一部のソーシャルメディアでは投稿された写真やムービーが露出状態にありました。また、テキストファイルは500万以上もあり、中には信任状(信用証明書)もかなりの数が含まれていたそうです。
By luc legay
ちなみに、Amazon S3でバケットを作成した場合、デフォルトだとプライベートに設定されるので、Vandevanterさんはバケットをパブリック設定にして公開する人は、その中に置いてあるファイルが本当にパブリックにするべきものなのかどうかを考えてから設定して欲しい、とアドバイスしています。
・関連記事
Amazonがクラウドに関する「都市伝説」に反論、「AWSの真実」とは? - GIGAZINE
これが来るべきネット選挙の未来の形、Amazonのクラウドのパワーがオバマ大統領再選を支えたことが目で見てわかる「Obama for America on AWS」 - GIGAZINE
1GBが約1円/月のAmazon Glacierへ簡単にバックアップ&同期できるフリーソフト「FastGlacier」 - GIGAZINE
「Amazon EC2」と「Amazon S3」を実際に使ってみたので、まずはアカウント作成まで - GIGAZINE
「Amazon EC2」と「Amazon S3」を実際に使ってみた、今度はEC2の操作環境セットアップ - GIGAZINE
「Amazon EC2」と「Amazon S3」を実際に使ってみた、最後はカスタムAMI作成・登録・削除編 - GIGAZINE
・関連コンテンツ