企業の契約書や内部メモなどのスキャン文書を保管するABBYYが2万件以上の文書をパスワードロックなしで管理していたと判明

OCRソフトやクラウドサービスを提供するABBYYが、顧客がスキャンしクラウドに保存した2万件以上のドキュメントデータをサーバー上でパスワードもかけずに一般公開していたことが明らかになりました。

ABBYY exposed its document storage database with more than 200K scanned contracts, memos, letters. | Bob Diachenko | Pulse | LinkedIn
https://www.linkedin.com/pulse/abbyy-exposed-its-document-storage-database-more-than-bob-diachenko

セキュリティ研究者のボブ・ディアチェンコ氏が、AWSでホストされるあるMongoDBにログイン用のパスワードロックがかかっておらず、データベースに142GBものデータが保管されているのを発見しました。

サイバー攻撃の対象となりかねないセキュリティリスクを確認したディアチェンコ氏は、所有者を特定し保護すべくデータベースのサンプル分析を行ったところ、「documentRecognition」「documentXML」のファイル名からデータ認識企業のインフラの一部であることが推測できたそうです。そして、「ユーザー」情報にある企業のメールアドレス、暗号化されたパスワードから、MongoDBの管理者がABBYYであることを特定しました。ディアチェンコ氏によると、問題のMongoDBには、ABBYYのクライアント企業が保管していた契約書、NDA、メモ、その他の内部文書などからなる2万件以上のスキャンされた文書データが保管されていたそうです。

ディアチェンコ氏は、データベースから抽出したABBYY関係者に対してメールで通知したところ、翌日には情報セキュリティ責任者から返信があり、「問題について詳細な情報を提供してほしい」旨の要請を受けました。その後、ABBYYから、「システムの脆弱性が解消した」という報告とともに、「影響を受けた顧客に対して通知をした」との連絡を受けましたが、顧客企業名は明かされなかったそうです。

なお、ABBYYのサービスを利用する企業は以下のABBYYページで確認でき、Mマクドナルド、ペプシコ、フォルクスワーゲンなどの大企業が名を連ねていたことがわかります。

ABBYY Customers Stories
https://www.abbyy.com/en-ee/case-studies/

ディアチェンコ氏によると、最初のメールでの問い合わせから2日後に自身のIPアドレスを送信した直後にようやく問題のMongoDBへのアクセスが不能になったそうで、それまでの間にパスワードロックがかかっていない期間がどれくらいあったのかは不明とのことです。