独占記事:ビジネス アプリ開発者のセキュリティ保護されていない Microsoft Azure BLOB により、顧客に属する 50 万件以上の機密文書と機密文書がパブリック インターネットに自由に公開されていたことがThe Registerによって明らかにされました。
このブロブに含まれる情報には、職業上の健康診断、ロイズ・オブ・ロンドンが引き受けた米国企業からの保険金請求書類、昇進を希望する後輩の同僚に関する上級法廷弁護士の個人的な意見などが含まれていた。
Azure BLOB にはセキュリティ制御がまったく導入されていなかったため、完全に公開されており、そこに保存されているファイルのアドレスを知っている人なら誰でも認証なしでファイルを閲覧できました。そのため、ログインしたり、いかなる種類のセキュリティ チェックを通過する必要もありませんでした。
このブロブには、フェデックスの出荷セキュリティ文書、食品会社ヒューエルや投資管理会社からの内部苦情、その他数え切れないほど多くの情報も含まれており、 The Registerが確認した少なくとも1つの例ではパスポートのスキャン画像も含まれていた。
少なくとも1つの消防隊は、入隊希望者の入隊前体力テストの結果をブロブに保存していた。この機密性の高い医療データは誰でも閲覧可能だった。
このブロブはサリー州に拠点を置くアプリ開発会社Probaseによって運営されており、同社のCRM製品の一つを支えるパブリッククラウドに保存されていたようだ。そこには、バックアップされたメール、手紙、スプレッドシート、スクリーンショットなど、58万7000件ものファイルが含まれていた。
どの企業がBLOBを所有しているかを突き止め、その企業にロックをかける必要があると通知しようとする際に私たちが閲覧したファイルには、極めて機密性の高い医療データも含まれていました。中には、特定の消防隊に応募した人々に関するものや、民間の医療会社が実施した職業健康診断のデータもありました。
このブロブのアドレスは、セキュリティ管理の不備を懸念する情報セキュリティ研究者のオリバー・ハフ氏からThe Registerに提供された。ハフ氏は、所有者が特定され次第、ブロブが閉鎖されることを期待していると述べた。
ハフ氏はThe Registerに次のように語った。「プロバイダーがクライアントごとに個別のストレージを作成するのではなく、クライアントのファイルをすべて1つのバケットにまとめているこのようなストレージバケットが見つかったことは、2020年の現在でも安全な設計の基本がまだ守られていないことを示しています。」
医師が記入した職業健康診断もブロブに含まれていたが、閲覧を阻止するセキュリティ対策はなかった。
プロベースのディレクター、ポール・ブラウン氏は声明の中で、ザ・レジスター紙にこう語った。「現在、当社は情報コミッショナー事務局と緊密に連携しており、これ以上のコメントは一切差し控えさせていただきます。」
ブラウン氏は、ブロブがどれくらいの期間保護されていない状態に置かれていたかについてはコメントしなかったが、内部のファイルは2013年まで遡る。ICOにコメントを求めている。
Probaseの顧客の一つである液状食品会社Huelは、苦情追跡システムを使用していましたが、そのシステムはセキュリティ保護されていないProbaseのBLOBに送られていたようです。El Regは、 Huelの乾燥製品に豆が多すぎるという顧客からの苦情に関するメールと、Huelの懸念に対するサプライヤーの回答を閲覧することができました。
Huelは、製品に関する苦情を社内で追跡するためにProbase製のアプリケーションを使用しているようです。繰り返しますが、このメールのやり取りは誰でも自由に閲覧可能でした。
もう一つの顧客は、クイーンズ・カウンセルのシニア・ランクへの昇進をどの若手法廷弁護士に与えるかを決定するQCアポイントメント社でした。この登録簿は、国内で最も上級の法廷弁護士や裁判官が、若手同僚が昇進にふさわしいかどうかについて提出したコメントを自由に閲覧することができました。
QC任命パネルの非公開とされていたフィードバックのプロフォーマと内部メールが、誰でも自由に読めるようにブロブに公開された。
QCアポイントメント社の代表ラッセル・ウォーマン氏は、レジスター紙に対し、「ご指摘ありがとうございます。極めて緊急に調査を進めております」と語った。
Probase社はセキュリティ上の問題に関して顧客に通知を開始したと承知しています。ブロブは一般公開を停止しました。
米国の保険会社の多くは、顧客からの手紙をProbaseブロブにコピーするCRM製品を使用しているようだ。
他の顧客には、食品サプライヤーに対して、その商品がイスラム教とユダヤ教のそれぞれの宗教的要件を満たしていることを確認する証明書を発行するハラール認証機関とコーシャ認証機関の両方が含まれているようだ。
情報セキュリティベンダーForcepointのエッジ保護責任者であるデイブ・バーネット氏は、The Register紙に次のように語った。「クラウドやモバイルの取り組みにおいて、必ずしもデータプライバシーが最優先に考慮されているわけではないと言えるでしょう。今回の侵害が示すのは、プライバシーとアクセスの容易さのバランスがまだ取れていないということです。偶発的な損失であれ意図的な損失であれ、結局のところ、医療記録は私たちの身元を示すものであり、その情報は攻撃者にとって非常に価値のあるものです。クレジットカード番号を紛失しても、比較的簡単に別の番号を入手できますが、私たちはそれぞれが持つ非常に個人的な医療記録を一つしか持っていません。そして、ここでの損失は永久に失われるのです。」
Azure BLOBのセキュリティは、これまでAWS S3バケットほど注目されていませんでした。Azureを利用する開発者が適切なアクセス制御ではなく、隠蔽によるセキュリティに依存しているという証拠がますます増えているため、IT管理者が本来の責務にもっと注意を払うようになることを期待します。
顧客は、取引先の企業がセキュリティに真剣に取り組んでいると信頼しています。そして、その企業はITサプライヤーが顧客データを適切に保護してくれると信頼しています。特にクラウドに保存されている場合はなおさらです。Azure BLOBやAWSバケットを管理している場合は、クリスマス休暇に入る前にアクセス制御を再確認してください。®
