Interviews Brawte nfaq 0 Comments

ケイマン諸島の投資ファンドが、Azure BLOB のファイルストア全体を世界各国の閲覧可能な状態に放置

Table of Contents

ケイマン諸島の投資ファンドが、Azure BLOB のファイルストア全体を世界各国の閲覧可能な状態に放置

独占情報: ケイマン諸島を拠点とする投資ファンドが、安全な Microsoft Azure BLOB を適切に構成できなかったため、バックアップ全体をインターネットに公開しました。

ファンドのメンバー登録の詳細や投資家とのやり取りは、Amazon Web Services S3 ストレージ バケットに相当する Microsoft の Azure BLOB の URL を知っている人なら誰でも自由に読むことができる。

このファンド( The Registerはインシデント対応プロセスについて詳細を話すことに同意したため、ファンド名は伏せている)は、株主名、保有株数、保有価値を公開しているだけでなく、オンラインバンキングのPINのスキャンコピーをBLOBに保存していた。The Registerは、 BLOBからファイルの一部を閲覧し、その所有権と真正性を確認した。

ファンドのオンラインバンキングのPINは、安全でないAzure BLOBで誰でも閲覧できるファイルの1つだった。

ファンドのオンラインバンキングのPINは、安全でないAzure BLOBで誰でも閲覧できるファイルの1つだった。

このブロブアドレスは専門の検索エンジンによってインデックス化され、信じられない情報セキュリティ関係者がThe Registerに指摘して、次のように皮肉を言った。「金持ちの世界では、お金、お金、お金…おかしいでしょうね…」

匿名のファンドの対応は、The Registerからの最初の通知を無視し、コンピューターサイエンスの学位を持つスタッフに懸念材料があるかどうか尋ねるというものでした。幸いなことに、その人は私たちが伝えようとしていたことを理解してくれました。

同氏は次のように語った。「当社はサーバーのバックアップに Azure を使用しています。これは日常的に使用するサーバーではありません。これは災害復旧などのバックアップとして、別の人がセットアップしてくれたものです。」

自身をコンピューターサイエンスの学位を持ち、数学に強いバックグラウンドを持つと説明するこの人物は、上司から、フィッシング詐欺以上の何かがないか念のためメールをもう一度見るように言われたと語った。

銀行明細書などの機密性の高い内部文書は、Azure BLOB 上の誰でも閲覧できる可能性があります。

銀行明細書などの機密性の高い内部文書は、Azure BLOB 上の誰でも閲覧できる可能性があります。

The Registerがセキュリティ保護されていないブロブで確認した文書は、何年も前に遡り、取締役のパスポートのスキャン、投資家との手紙(商談中に送られたコメント付きファイルを含む)、契約条件書、株券(白紙のコピーを含む)、取締役が署名した文書などが含まれています。

コンピュータサイエンスの男は続けた。「これは香港のITベンダーが提供した[バックアップ]ソリューションで、ごく普通のクラウドサービスだと思っていました。明らかにセキュリティ上の問題があるんです!」

完成した株券がスキャンされアップロードされただけでなく、取締役の署名が入った空白のコピーもスキャンされアップロードされただけでなく、取締役の署名が入った空白のコピーもスキャンされアップロードされた。

完成した株券がスキャンされてアップロードされただけでなく、取締役の署名とともに白紙のコピーもアップロードされた。

同氏はまた、ファンドのITプロバイダーが侵害の結果Azure BLOBからすべてのファイルを削除したと付け加え、週末の支援要請をマイクロソフトが無視したというITプロバイダーの主張には疑問を呈した。

従業員数で判断すると中小企業の中でも小規模な部類に入るこのファンドは、社内ITの専門知識はITを主業務としていない他の中小企業と同程度、いや、それほど多くはないようです。Azureの仕組みや、ファイルがWebブラウザを持つ人々に公開されていた経緯を全く把握しておらず、基本的なオフィス生産性向上ソフトウェア以外は全てITプロバイダーに完全に依存しているように見えました。

ファンドの取締役の一人が、パスポートの身分証明書のページをすべてスキャンしていた。これは検索エンジンによってインデックス化され、誰でも閲覧・コピーできる状態になっていた。

ファンドの取締役の一人が、パスポートの身分証明書のページをすべてスキャンしていた。これは検索エンジンによってインデックス化され、誰でも閲覧・コピーできる状態になっていた。

同社は運用資産5億ドルを保有しており、投資家には政府系ファンド、大手金融機関、企業、ファミリーオフィスなどが含まれるとしている。その投資家の一つに、著名な投資銀行ロスチャイルド・アンド・カンパニーがある。ロスチャイルドはコメント要請には応じなかったものの、エル・レグの要請を同ファンドに伝え、Azureの問題について注意を促した。

Azure BLOB の設定ミスは、AWS S3 バケットで公表された問題に比べるとあまり注目されていませんが、Amazon と同様に、Microsoft もストレージの安全性を確認するためのツールを提供しています。こうしたツールは、実際に使用されて初めて有用となります。

昨年、英国の自動ナンバープレート認識(ANPR)事業者が、数百万枚ものCCTV画像を、このファンドのシステムと同様にログインや認証制御が適用されていない、セキュリティ保護されていないAzure BLOBからオンラインでアクセス可能な状態に放置していました。ANPRは通常、ごく標準的なCCTVカメラで撮影された写真に画像認識ソフトウェアを適用することで機能します。この場合、生画像はWebブラウザーを持つ誰でもアクセスできる場所に保存されていました。

HackerOne の Aaron Zander 氏はThe Registerに次のようにコメントしています。「過去 1 年間で、HackerOne プラットフォームのハッカーは、設定ミスに関連する脆弱性に対して 26 万ドルの報奨金を獲得しました。」

AWS ではないからといって、セキュリティ保護されないままにできないわけではありません。®

Interviews

Smart Recommendations

Discover More