更新:また別の組織が機密データをパブリック インターネットに公開しているのが発覚しました。今回は、大手企業や善良な企業向けのコンサルタントである Accenture です。AWS S3 バケットの設定ミスにより、アクセス キーやその他の個人文書が漏洩しました。
9月17日、セキュリティ企業Upguardのベテランクラウド監視担当者、クリス・ヴィッカリー氏は、4つのAWS S3ストレージバケットが一般公開されていることを発見しました。「acp-deployment」「acpcollector」「acp-software」「acp-ssl」と名付けられたこれらのリポジトリには、社内メールから平文で保存されたログイン認証情報まで、アクセンチュアに属する数百ギガバイトのファイルが含まれていました。これらのファイルはawsacp0175というユーザーによって作成されたとされています。
どうやら、オンライン サイロを偶然見つけた人なら誰でもすべてのデータにアクセスできたようです。
公開されたバケットの1つには、アクセンチュアの社内システムにアクセスするための暗号鍵と認証情報のようなものが含まれていました。皮肉なことに、「セキュアストア」というラベルの付いたセクションもあり、そこにはAWSのキー管理サービスに登録されたアクセンチュアのアカウントのマスターアクセスキーの平文ファイルが格納されていました。このキーはクラウド内のデータの暗号化と復号に使用されていました。Upguardによると、このファイルは「セキュアストア」というラベルの付いたセクションとは対照的です。
このアーカイブには、client.jksキーストアも多数含まれていました。これらは暗号化されていましたが、隣のファイルに平文でロック解除用のパスワードらしきものが記録されていました。また、この大量のデータには、アクセンチュアの顧客の秘密署名鍵も含まれていたようです。
AWS S3バケットの失敗でバイアコムの王冠の宝石が世界に公開される
続きを読む
Acpcollector には、Accenture のさまざまなクラウドホスト システムにアクセスして管理する方法に関する情報が含まれていたと伝えられています。その中には、Accenture のプライベート プロダクション ネットワークに侵入するための VPN キーも含まれており、悪意のある人物が企業の最も重要なコンピューターに侵入できる可能性があります。
一方、acp ソフトウェアはとんでもないものだ。約 40,000 件のプレーンテキスト パスワード、サードパーティのクラウド インフラストラクチャ管理プラットフォームである Enstratus のアクセス キー、Accenture の ASGARD 脅威検出データベースの書類など、137 GB の機密資料が含まれているとされている。
また、アップガードによると、このファイルには、機密性の高い文書が含まれていた可能性のあるアクセンチュアの社内メール、新規ユーザーの追加などを監視するイベント追跡システム、コンサルティング会社のクライアントが使用するものも含めたIPアドレスとJSession IDの記録、アクセンチュアのGoogleアカウントとAzureアカウントの内部詳細も含まれていたという。
一方、acp-sslには、アクセンチュアのクラウドサービス(クラウドファイルストアキーを含む)の秘密鍵らしきものが保管されていました。SSL証明書も含まれていたと伝えられています。Upguardチームは、これらの鍵は、コンサルティング会社と顧客間の通信を傍受し、盗聴するために利用される可能性があると主張しました。
ああ、ベライゾンもだめだ:米国の通信会社がAWS S3バケットの漏洩リストに加わる
続きを読む
「これらを総合的に考えると、これらの公開されたバケットの重要性は計り知れません。これらのクラウドサーバーは、URLを偶然見つけた人なら誰でもアクセスできるため、有能な脅威アクターの手に渡れば、アクセンチュアとその数千に及ぶ一流企業顧客が悪意のある攻撃にさらされ、計り知れない経済的損害を被る可能性があったのです」と、アップガードのダン・オサリバン氏は火曜日のアドバイザリーで述べています。
悪意のある人物が、公開された鍵を利用してアクセンチュアになりすまし、同社のIT環境に潜伏してさらなる情報を収集していた可能性があります。パスワード再利用攻撃の脅威も、複数のプラットフォーム、ウェブサイト、そして数百もの顧客にまで及んでいます。
アクセンチュアは、本稿の印刷時点ではコメントを控えている。®
追加更新
アクセンチュアの広報担当者は、この失態を軽視しようと連絡を取った。
