SEGA Europe が AWS S3 バケットを誤って公開:データとインフラが危険に

SEGA Europe left AWS S3 bucket unsecured exposing data and infrastructure to attack

2022/01/03 SecurityAffairs — サイバー・セキュリティ企業の VPN Overview の報告によると、年末にゲーム大手の SEGA Europe が、Amazon Web Services (AWS) の S3 バケットにユーザーの個人情報を誤って公開し、放置していたことが分かった。この S3 バケットには、複数の AWS キーが含まれており、これらのキーを使用することで、SEGA Europe の複数のクラウド・サービスにアクセスすることが可能だった。また、MailChimp や Steam のキーも含まれており、これらのサービスに SEGA の名前でアクセスすることもできた。

研究者たちは、「SNS の通知キューが侵害されていることを発見した。SEGA Europe が所有するドメイン上でのスクリプト実行や、ファイル・アップロードが可能だった。SEGA の人気 Web サイトや CDNの、いくつかが影響を受けていた」と、VPN Overview が発表したレポートで述べている。

また、セキュリティ保護されていない S3 バケットは、community.sigames.com にある Football Manager フォーラムの数十万人のユーザーの情報を含む、ユーザー・データへのアクセスを許可する可能性もある。

以下は、SEGA Europe Amazon クラウドのバグの一覧である。

FINDINGSEVERITY
Steam developer keyModerate
RSA keysSerious
PII and hashed passwordsSerious
MailChimp API keyCritical
Amazon Web Services credentialsCritical

VPN Overview は、悪意の第三者による機密データへの不正アクセスや、これらの脆弱性の悪用の形跡はないとしている。研究者たちは、ファイル・アップロード/スクリプト実行、Web ページの変更/重大な脆弱性を持つ SEGA ドメインの設定変更が可能であったと報告している。

影響を受けたドメインのリストには、downloads.sega.com/cdn.sega.com/careers.sega.co.uk/sega.com/bayonetta.com などが含まれている。影響を受けたドメインの多くは、ドメイン・オーソリティ・スコアが高いものとなる。これらの企業ドメインの一部が侵害された場合、攻撃者は SEGA のインフラを介してマルウェアを配布することが可能になると考えられる。

研究者たちは、「特に、downloads.sega.com の CDN は、.pdf および .exe ファイルをホストしている。脅威アクターが CDN を利用して、マルウェアやランサムウェアを配布する可能性がある。SEGA Europe は、自社の CDN を利用した攻撃が、もはや不可能になっていることを確認した」と報告している。

いわゆる、クラウドのミス・コンフィグレーションなのでしょうか?2021年8月に「Palo Alto Networks のクラウド誤設定検出ツール:背景にある問題とは?」という記事をポストしていますが、そこには「クラウドへの侵入の原因は、ほとんどの場合において、ミス・コンフィグレーションに起因する。開発者は通常、Terraform などの IaC ツールを用いて、クラウド・インフラストラをプロビジョニングする。しかし、残念なことに、開発者の多くはセキュリティの専門家ではないため、ミスが頻発する」と記されています。検索 [クラウド+設定+コンフィグレーション] を ご参照ください。

%d bloggers like this: