7/12号① AWS設定ミスで25万件の個人情報がGoogle検索に掲載

セキュリティニュース

 

ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。

〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。

〇 OS、アプリケーション、アンチウイルスの
データベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

ニュース概要

– 7月1日、リスクモンスター社より、同社運営の企業向け研修サービス「サイバックスUniv.」のサーバーに保存されていた個人情報が誤って公開状態となり、Googleの検索結果に掲載されていたと発表されました。

– 対象とされるのは、当該サービス登録者約25万件の会社名・部署名および氏名で、住所・生年月日・電話番号等は含まれていないとのことです。

– 6月29日に利用者からの問合せを受けて発覚し、同日中に情報が保存されていたサーバーの停止により対策を行っています。

– 2020年2月16日にサーバーの設定変更を行って以降、当該情報が公開状態にあったとしていましたが、その後7月5日の続報において、サーバーをAWSに移行した際のネットワーク誤設定が原因と発表されています。


AUSからの所感

 

設定の誤りで公開を意図しない情報に第三者がアクセス可能な状態となる事案は過去枚挙にいとまがなく、ディレクトリ名を指定してアクセスできる極めて古典的でシンプルなケース、データベースサーバーのサービスポートが外部にオープン状態になっていたケース等様々です。

サービスの全てのサーバーを丸ごとではなく、一部のサブシステム(サーバー)のみをAWSに移行する形をとっていたことにより、他のサーバーからのみアクセスを許可するようなアクセス制限設定の漏れが発生したものと推測されます。</b

続報では同社が実施する再発防止策としてパブリッククラウドの設定診断サービス等を定期的に受けること等が挙げられており、オンプレミス上・クラウド上に拘わらず、外部からサーバーやネットワークにアクセス可能な設定になっていないか、第三者視点さらには攻撃者視点によるネットワーク診断の実施は重要と言えます。

– 関連記事 –