近年、企業におけるパブリッククラウドの導入は加速しています。一方で、設定ミスなどの人為的要因による情報漏洩事故も急増しています。今回は、中でも最近問題視されているAmazon S3[1]の設定ミスによる情報漏洩事故の事例についてご紹介致します。

Amazon S3 権限設定ミスによる情報漏洩事故の例

Amazon S3は、AWSの数あるサービスの中でも、最も活用されているサービスの一つです。一方で、機能のアップデートが頻繁に行われ、エンジニアが追随できていないケースが目立ちます。故に設定ミスを起こしやすく、その設定ミスによって生じた脆弱性を狙う攻撃の標的にもなりやすいサービスでもあります。誤った権限設定によって、本来外部に公開してはならない機密情報が公開され、情報漏洩に繋がってしまうケースが後を絶ちません。
以下に、最近起きた情報漏洩事故の例を挙げます。

事例１：20万件を超える応募者の履歴書が漏洩

米国の求人掲示板Authentic Jobsとイギリスの求人アプリSonicJobs Appで、合わせて20万件を超える応募者の履歴書情報が漏洩しました。
両サービスでは、Amazon S3バケットの権限がパブリックに設定されたまま外部公開されており、バケットに格納された履歴書に誰もがアクセスできる状態になっていました。

事例２：ウェブサイトに、カード情報を不正に取得するコードが埋め込まれる

2019年7月にRiskIQが発表した報告書によると、誤った権限設定になっているAmazon S3バケットに、クレジットカード情報を不正に取得するコードを埋め込む攻撃キャンペーンが行われていることが明らかになりました。

この攻撃キャンペーンを実行したのは、ウェブスキミング[2]を行うことで知られるサイバー犯罪集団「Magecart」です。Magecartは、設定ミスによって第三者にも書き込み権限が与えられたAmazon S3バケットをスキャンし、ウェブサイトで使用されるJavaScriptファイルにウェブスキミングを実行するコードを埋め込みました。

この攻撃キャンペーンで不正コードを埋め込まれたドメインは約17,000件以上に上ります。

権限設定ミスがなくならない原因

AWSは年間1000件を超えるサービス提供や機能のアップデートを行っています。この機能追加スピードの速さがAWSの強みですが、その速度にエンジニアが追随できていないのが現状です。
更に、一般的なウェブアプリケーション脆弱性診断には、AWS環境固有の設定ミスに関する項目が入っていないケースも多々あります。そのため、問題がないと捉えてサービスが公開されてしまっているケースも少なくありません。

このように、パブリッククラウドを利用する上では、各環境に応じた適切なポリシー設定が必要となります。
AWS側も、開発者への注意喚起や、権限設定ミスを防止する機能の追加、UIの改善等、様々な対策を行っています。とはいえ、ユーザーにとって時々刻々と変化するサービスの全容を理解し、瞬時に対応する体制を維持することは困難です。

そのため、最近では、パブリッククラウドの設定内容のセキュリティ上の欠陥を発見するソリューションに対する二―ズが高まっています。こういったサービスを導入することで、安全にAWSを利用するのも一つの手段です。

Check Point CloudGurad Dome9 は、クラウド環境のセキュリティ設定やコンプライアンスに必要なオペレーションを自動化することでリスク管理を容易にする、パブリッククラウドに特化した管理ソリューションです。
日々更新されるシステム環境を継続的にモニタリングし、潜在的な設定ミスの検出や、セキュリティ設定の評価を自動的に行い、効率的で安全なクラウド環境を実現します。

脚注

[1]AWS上で提供されるクラウドストレージサービス。保存しているデータ容量や転送量に応じて料金の変わる従量課金制となっているため、バックアップやその他AWSサービスのログ等、幅広いデータの格納に利用されている。
[2]ECサイトなどの決済画面に不正なスクリプトを埋め込み、ユーザがフォームに入力したクレジットカード情報を窃取する攻撃。

参考（外部サイト）

先週のクラウド・セキュリティ:Dockerホストを狙う、クリプトジャック ワームGraboidが登場｜Yahoo!ニュース
Job applicants worried as hundreds of thousands of CVs exposed online ｜ Sky News
脆弱な設定のAmazon S3を利用し、クレジットカード情報を盗難する攻撃が急増。 ｜ Yahoo!ニュース