先週、ハッカーがアマゾンがホストするクラウドストレージからキャピタルワンのクレジットカード申込者1億600万人分の個人情報を盗んだことが明らかになったことを受けて、米国上院議員はアマゾンのCEOジェフ・ベゾス氏に何が起こったのか正確に説明するよう要求した。
この機密情報は、キャピタル・ワンのアマゾン・ウェブ・サービスのS3バケットから元AWSエンジニアによって盗み出され、7月末に逮捕、起訴された。
今週月曜日、ロン・ワイデン上院議員(オレゴン州民主党)は、銀行が発表した「ファイアウォールの設定ミス」が原因というわずかな詳細以外に、データが具体的にどのように盗まれたのかをベゾス氏に質問した。
ワイデン氏は、AWSクラウドにデータを保存している他の企業も、キャピタル・ワンの窃盗犯とされるシアトル在住のソフトウェアエンジニア、ペイジ・トンプソン氏によって同様の被害を受けた可能性があることを特に懸念している。フォード、ミシガン大学、オハイオ州運輸局などがトンプソン氏による同様の情報漏洩被害に遭った可能性があるという報道を引用し、これはAmazonのセキュリティにおける体系的な弱点を示唆している可能性があると述べた。
「大企業が設定ミスで1億人のアメリカ人のデータを失えば、当然その企業のサイバーセキュリティ対策に注目が集まる」とワイデン氏は書いている[PDF]。
しかし、複数の組織が同様の設定ミスを犯した場合、基盤となる技術をより安全にする必要があるのか、また、その技術を開発している企業が侵害の責任を共有しているのかを問うべき時期だ。
AWS S3バケットの漏洩問題に対するAmazonの回答:ダッシュボードの警告灯
続きを読む
特にワイデン氏は、Amazonがホストするシステムや顧客がサーバーサイド・リクエスト・フォージェリ(SSRF)の脆弱性に潜在的に影響を受けているかどうかを把握したいと考えている。この種の脆弱性は、悪意のある人物によって悪用され、他者のサーバーを騙してコマンドを実行させたり、本来は漏洩すべきではないデータを漏洩させたりする可能性がある。ワイデン氏は、Amazonの億万長者であるワイデン氏に対し、過去2年間にキャピタル・ワンを含む組織がSSRFの脆弱性を悪用してAmazonがホストするデータを盗まれた場合、8月13日までに報告するよう求めている。
ワイデン氏はまた、Netflixのエンジニアが、ストリーミング事業を展開する同社がSSRFベースの攻撃対策についてAmazonに支援を求めたが無視されたという主張についても調査を進めている。NetflixはAWSの顧客事例の一つであることから、ワイデン氏はこの点に関してどのような動きがあったのかを知りたいと考えている。
つまり、AWSがホストするサービスは、一部の顧客によって設定ミスやプログラミングミスが行われる可能性があり(AWSは100万人以上のアクティブ顧客を抱えている)、SSRF攻撃によって侵入される可能性があるという懸念がある。ワイデン氏は、AmazonがSSRFの悪用を積極的に阻止したり、データ窃盗を防ぐための他の障壁を設けたりできるかどうかについて知りたいと考えている。
上院議員が AWS から回答を得られない場合に備えて、Capital One のクラウド インフラストラクチャに対する攻撃の技術的な概要を以下に示します。
ワイデン議員はトランプ大統領が最も嫌うテックリーダーを攻撃する、反射的なラッダイト(技術革新反対派)だと思われないように。実際、彼は最もテクノロジーに精通した議員の一人だ。暗号化とプライバシー保護に強く、様々な財務・情報委員会の上級委員として、英国が彼のデジタル仲間に2%の課税を課そうとするなら、英米自由貿易協定を破ることもいとわない。®
追加更新
AWS は上院議員の書簡に対して [PDF] 回答しており、その主要部分は次のとおりです。
