Pegasus Airline から漏洩した 6.5TB の機密情報:CSPM があれば AWS S3 バケットを守れたのか?

6.5TB of Sensitive Data Flies Away in Airline Cloud Data Breach

2022/06/07 SecurityBoulevard — つい先日のこと、Pegasus Airline は大規模なAWSデータ侵害に見舞われ、6.5TB のデータを危険にさらすことになった。最終的に、乗務員の個人情報/平文パスワード/秘密鍵/ソースコードなどの機密情報を含む、2300万件のファイルが公開されてしまった。犯人と思われるのは、悪名高い S3 バケット問題である。

この問題を発見したのは、セキュリティ・ベンダーである Safety Detectives だ。今回のミスコンフィグレーションがいつまで続くのかは不明だが、Pegasus からソフトウェアから購入してホストしている、他の航空会社にも影響が及ぶ可能性がある。Pegasus は、通知を受けた後に、データを保護するための迅速な行動を取ったと報告されている。


なぜ、このようなことが起こったのだろうか?残念なことに、重大なミスである一方で、誰もが知っている AWS のデータ漏洩の、よくある話でもある。AWS の S3 バケットはデータストアであり、多くの場合において、ビジネス・クリティカルな情報が格納されている。これらのバケットは、誤ったコンフィグレーションが行われがちであり、一般からのアクセスを許すことや、適切な認証を必要としないアクセスを許すことがある。このような、ミスコンフィグレーションを未然に防ぎ難いことが、今日の組織のアキレス腱となっている。

Sonrai としては、このよくある間違いに対する認識を高めてほしい。また、このような事故を防ぐことを目的とした、ソリューションがあることを知ってほしい、と考えている。

AWS データ漏洩の解決策

Cloud Security Posture Management (CSPM) は、クラウドが安全に構成されていることを確認するためのクラウド・セキュリティ・ソリューションに、サードパーティであるセキュリティ・ベンダーから提供されることが多い。

AWS は、最も安全なインフラを提供するという素晴らしい仕事をしているが、クラウド内の全てのものを安全にするのは、最終的には顧客の責任である。CSPM ツールを活用して AWS 環境を監視することで、最も基礎的なレベルでの安全性の確保が可能になる。

このソリューションは、顧客の環境を、適切な設定/動作のベースラインと比較し、逸脱を探すために機能する。たとえば、S3 バケットを公開するなどの逸脱が検出された場合には、このツールは問題をチームに知らせり。

この Pegasus のケースにおいて、たとえば成熟した CSPM ツールがあれば、一般にアクセス可能なデータストアを探し出し、そのデータストアには認証が必要であり、暗号化/監査が正しく設定されていることの確認などの、ベストプラクティスのベースラインが得られるはずだ。CPSM ツールの使用により、悪意のある行為者 (またはセキュリティベンダー) が機密情報に接触する前に、S3 バケットのミスコンフィグレーションを発見できる。

AWS データ漏洩を防ぐための高度な CSPM ソリューション

今日、数多くのベンダーが、この制御チェックを含む CSPM ソリューションを提供しているが、次世代ツールは一歩進んだものとなる。大きな違いの1つは、最新の CSPM はデータストアに対して、一定間隔でポーリングするのではなく、継続的にモニタリングを行う点にある。それにより、ミスコンフィグレーションが検出されると、すぐに対処できるようになる。その一方で、ポーリングにはタイムラグがあり、クラウドの規模が大きくなると、ミスコンフィグレーションを一度に検出できない可能性が生じる。

最新の CSPM における、もう1つの大きな違いは、クラウド特有のスピードとスケールでミスコンフィグレーションを修正できる点である。たとえば、乗務員の個人情報へのアクセスに必要とされる、認証の欠如のようなミスコンフィグレーションがあり、レガシー CSPM ツールが検出して、セキュリティ懸念としてチケットを発行したとしよう。しかし、このチケットは、キューの後ろに置かれるか、通知の海に紛れ込んでしまうだろう。

このアラートが、実際にはセキュリティチーム以外のグループに関係していたら、たとえば、データストアを担当する DevOps チームに関係していたらどうなるだろう?また、ミスコンフィグレーションが、クリスマスイブの夜に検出されたらどうだろう?ここで、CSPM ツールにおける、次世代コンポーネントであるインテリジェントなワークフローと自動化が役に立つ。この統合された機能により、優先度の高いアラートを「最前線に飛ばして」、それを修正する責任を負う、特定のチームにダイレクトに伝えることが可能にある。さらに、自動化により緊急の問題を修正し、セキュリティ上の深刻度を、少なくとも軽減することが可能になる。

全体像

Pegasus Airline のインシデントは、基本的なセキュリティのミスコンフィグレーションにより、データ漏洩の被害者を生み出したという点で、決して孤独ではない。2021年だけでも、Twitch/Twilio/SeniorAdvisor などの、ユーザー企業に影響を与えた、無数の AWS データ侵害が報告されている。つまり、今回のことは、2022年に起こった最初の Amazon データ侵害ではなく、また、これで最後になるとは考えにくい。

このようなミスコンフィグレーション指摘する場合に、当事者となった企業を避難しても意味がない。今日、企業間を結びつけているのは、データ漏洩や悪意の攻撃を防ぐための、経験の共有である。

私たちは、クラウドの実務者/セキュリティチーム/CISO など頻繁に会話するが、誰もがクラウドのパイオニアとなり、また、ビジネスを正しい方向に導くという、強い意図と希望を持っていることを認識している。しかし、従来のセキュリティ・ツールの多くは、クラウドという新しい広大な世界に対応できていない。

今は、私たちは、テクノロジーの歴史の転換期に差し掛かっている。したがって、道具箱に新しい知識を加え、新しい戦略、ソリューション、ツールを採用し、クラウドにおける最も貴重な資産であるデータを、保護するために考える必要がある。

この仕事は大変なものであり、私たちも同じ思いでいる。まずは、助けが必要なこと、変化が必要なことを、認識することから始めよう。CSPM ソリューションを含む、クラウドセキュリティ・プラットフォーム Dig のデモに興味のある方は連絡してほしい。

Pegasus Airline というサービスは、日本でいうと SkyTicket みたいなものなのですね。出張や旅行によく空路を使う人であれば、メールアドレスなどを登録するケースがあるのだと思います。そして、それらの情報は、いずれは何処かへ漏れていくと、割り切っておくことも大事なのかもしれません。そして、AWS S3 バケットですが、これまでにもドメイン・レジストラである MarkMonitor や、SEGA Europe などが、情報漏えいの問題を起こしています。使う側にとって、Cloud Security Posture Management (CSPM) があればミスコンフィグレーションを防げるのか? それとも、クラウド・リテラシーの向上が必要なのか? 今後の展開に注目していきたいと思います。

%d bloggers like this: