誤って設定された 3 つの AWS S3 バケットがパブリック インターネット上に公開されているのが発見されました。このバケットには、数十テラバイトのソーシャル メディアの投稿や類似のページが含まれており、これらはすべて、関心のある人物を特定してプロファイリングするために米軍が世界中から収集したものです。
これらのアーカイブは、UpGuardのベテランセキュリティ侵害ハンター、クリス・ヴィッカリー氏が、Amazonがホストするオープンなデータサイロの定期スキャン中に発見したもので、3つのバケットは完全に隠蔽されていたわけではなかった。バケット名はcentcom-backup、centcom-archive、pacom-archiveだった。
CENTCOMは、中東、北アフリカ、中央アジアにおける陸軍、海軍、空軍、海兵隊、そして特殊部隊を統括するアメリカ中央軍の略称です。PACOMは、南アジア、中国、オーストラリア大陸の残りの地域を管轄するアメリカ太平洋軍の名称です。
ヴィッカリー氏は本日、 The Register紙に対し、公開されているS3バケットで「COM」という単語を検索していた際に偶然このアーカイブを見つけたと語った。検索範囲を絞り込むと、CENTCOMのアーカイブが表示された。最初は中国の多国籍企業Tencentに関連するものかと思ったが、すぐにそれが驚くほど大規模な米軍のアーカイブであることに気づいたという。
「研究のために400GBのサンプルをダウンロードしましたが、そこには数テラバイトのデータがありました」と彼は語った。「主に圧縮されたテキストファイルで、10倍に拡大する可能性があるため、実際には数十テラバイトのデータが存在し、これは控えめな見積もりです。」
漏れたS3バケット、米国のセキュリティクリアランスで数千のデータを流出
続きを読む
バケットの1つには、過去8年間から今日までに自動取得された18億件のソーシャルメディア投稿が含まれていました。主に中央アジアでの投稿ですが、ヴィッカリー氏によると、一部のコンテンツはアメリカ国民のコメントから抜粋されているとのことです。
データベースは、この情報が何に使われているのかという興味深い手がかりも明らかにしています。文書には、このアーカイブが米国政府のアウトポスト・プログラムの一環として収集されたという事実が記されています。アウトポスト・プログラムは、海外の若者を標的とし、テロから遠ざけることを目的としたソーシャルメディア監視・啓発キャンペーンです。
ヴィッカリー氏はアーカイブ内に、Outpostの開発設定ファイルと、オープンソース検索エンジンElasticsearchで使用するために設計されたApache Luceneのキーワードインデックスを発見した。別のファイルには「Coral」という記述があり、これは米軍のCoral Reefデータマイニングプログラムを指している可能性が高い。
「Coral Reefは主要なデータソースを分析し、アナリストに膨大な量のデータをマイニングする能力と、個人間の示唆的な関連性を提供し、ソーシャルネットワークを構築する能力を提供する方法です」と、陸軍分散共通基盤システム(Distributed Common Ground System)のテクニカルディレクター、マーク・キッツ氏は2012年に軍事通信電子協会の雑誌「シグナル」に語った。
「以前は、情報報告書や入手可能なデータを調べていましたが、それは非常に手作業が多かったのです。」
アルミホイルの帽子を必死に探し始める前に言っておくと、陸軍はCoral Reefを秘密にしておらず、このソフトウェアが受賞した賞を公表することさえありません。ソーシャルメディアの監視も、今に始まったことではありません。
しかし、この資料がいかに容易に発見され、いかに不適切に構成されていたか、そしてアーカイブに無害な名前すら付けられていなかったことは、実に憂慮すべき事態です。もしアメリカの敵が、あるいは正直に言えば、誰かが情報を探しているのであれば、これらのバケツは無料で掘り出せる情報源だったのです。
公共部門と民間部門でこのようなセキュリティの失敗が何年も続いたことを受けて、Amazon は、完全なフォルダー暗号化、バケットがロックダウンされていないときの黄色の警告灯、より厳しいアクセス制御を追加することで、顧客が S3 バケットをパブリックにアクセス可能なストアとして構成することを回避できるように支援しようとしてきました。
「これはAmazonの新しいコントロールが追加される前に発見されました」とヴィッカリー氏は述べた。「ですから、あの黄色いボタンがどれほど効果的かはまだ分かりません。」
ヴィッカリー氏は、この失態について米軍に報告し、バケツは現在施錠され隠されていると述べた。軍の担当者は、この問題を指摘してくれたことに感謝の意を表したが、これは異例のことだった。通常、軍との交渉は「一方通行」だとヴィッカリー氏は語った。
レジスター紙は中央軍(CENTCOM)関係者にコメントを求め、アウトポストとコーラルリーフに関する詳細情報を求めたが、グリーン・マシンの歯車はゆっくりと動いている。詳細が分かり次第、記事を更新します。®
