Amazon S3 バケットで繰り返されるミスコンフィグレーション:空港機密データ 3TB が流出

Cloud Misconfig Exposes 3TB of Sensitive Airport Data in Amazon S3 Bucket: ‘Lives at Stake’

2022/07/07 DarkReading — Amazon S3 バケットのミスコンフィグレーションにより、3TB の空港データ (150万以上のファイル) が漏洩し、アクセスに認証が不要なオープン状態となった。それにより浮き彫りになったのは、旅行業界が直面している、安全性が確保できないクラウド・インフラの危険性である。Skyhigh Security が公開した情報には、コロンビアとペルーの、少なくとも4つの空港の従業員の個人識別情報 (PII) や、その他の機密企業データが含まれているという。

この PII に含まれる情報が、テログループや犯罪組織に利用された場合には、深刻な脅威となる。なぜなら、それらの情報には、航空会社の従業員の写真や国民 ID カードのほか、飛行機/燃料ライン/GPS 地図座標に関するものまでふくまれるからだ。

対象となる Amazon S3 バケットは、現在は保護されているが、2018年までさかのぼる情報が含まれていたという。この運用環境には Android のモバイルアプリも含まれており、インシデント報告やデータ処理に、このアプリを使用していると、セキュリティ担当者は指摘している。


Skyhigh Security はレポートで、「旅行者と空港職員の命を守っている、空港のセキュリティの機密情報が悪人の手に渡れば、壊滅的な被害を受ける可能性がある」と指摘している。

Fortune Business Insights は、パンデミックによる制限から旅行需要が劇的に回復する中、航空旅行に対する大衆の要望の高まりにより、世界のスマート空港の市場規模が拡大していると見ている。

また、このレポートでは、「今後の数年間において、商業航空の拡大が市場にプラスの影響を与えるとし、空港は膨大な量の乗客や業務データを保存/処理するために、さらにクラウド・サービスを利用するようになる」と報告されている。

最近、旅行関連企業がサイバー攻撃の標的にされるケースが増えているのは、不思議なことではないかもしれない。2022年に入ってから、航空会社におけるランサムウェア被害が増えている。たとえば5月には、インドの格安航空会社 SpiceJet が攻撃を受け、フライトに大幅な遅延が発生している。

セキュリティ企業 Intel 471 の追跡調査によると、複数のサイバー犯罪グループが、旅行関連の Web サイトやクラウド・データベースから窃取した、認証情報などの機密情報を販売していることが判明している。

まだまだ脆弱なクラウド・セキュリティ

2019年当時に Gartner は、「パブリック・クラウドを管理できていない組織の 90%が、機密データを不適切に共有することになるだろう」と述べていた。そして、その懸念は今も続いている。米国の CISO を対象とした最近の IDC の調査では、回答者の 80%が、クラウド環境における機密情報への過剰なアクセスを特定できていないことが判明している。

Skyhigh Security は、「残念ながら、このようなニュースは、安全ではないクラウド・ストレージ・サービスという、単純だが有害なミスコンフィグレーションによるデータ侵害を証明している。ID 管理/アクセス権限/セキュアな設定/データ保護などの、さまざまな要素が複雑に絡み合っているため、クラウド・セキュリティが脆弱化し、最終的にデータが流出してしまうのである」と分析している。

そして実際に、昨今のクラウド・セキュリティのインシデントは後を絶たず、その中でもミスコンフィグレーションが大きな割合を占めている。オープンなデータベースを破壊するサイバー犯罪の目的は、データの盗用にとどまらない可能性がある。そこでは、サーバーレス関数実行サービスである、AWS Lambda の悪用が進んでいる。

つまり、最近の Microsoft Azure Service Fabric における、Linux コンテナ・エスケープの脆弱性が公開されたように、クラウドの製品/サービスにおける脆弱性は、組織にとっての懸念事項にとなっている。

しかし、良いニュースもある。最近のことだが、クラウド・セキュリティにとって有効なリソースの1つが、Wiz のセキュリティ研究者により cloudvulndb.org に設立された。このコミュニティ・ベースのデータベースには、現在約 70件のクラウド・セキュリティのインシデント/脆弱性に関する情報がリストアップされている。

クラウドの脅威を防ぐには

クラウド・オートメーション企業の Lacework が、500人のセキュリティ専門家と 200人の経営者を対象に行った最新調査では、企業はクラウド・インフラ/サービスを保護する方法を、変更する必要があることが指摘されている。

Skyhigh Security はレポートで、「クラウド・セキュリティをさらに強化するために、読み取り/書き込み権限を増やすことが指摘されているようだが、クラウド・ストレージへのアクセスや広範囲にわたる悪用方法が存在するため、実際には、それ以上の対策が必要になっている」と述べている。

同社は、その他の実施すべき対策として、以下の方法を推奨している。

  • AWS S3 バケット/Azure Blobs に存在する、脆弱なストレージの自動スキャンを有効にする。
  • IaaS のアカウント/サービスに対して継続的な構成監査を行い、一貫した保護を実施する。
  • 業界のベスト・プラクティスに対するコンプライアンス・チェックを実施し、安全な姿勢を維持する。
  • データ損失防止とマルウェア・スキャンを実行することで、クラウドにおける違反を検出し、機密データの流出を防止する。
  • インサイダーの脅威/不正アカウント/特権アクセスなどの悪用による、脅威を検知するための対策を講じる。
  • ミスコンフィグレーション/脆弱性/露出に対し、適切な自動修復を適用する。

AWS S3 バケットに関連するデータ流出が、なかなか止まらないという状況です。2022年に入ってからも、1月3日の「SEGA Europe が AWS S3 バケットを誤って公開:データとインフラが危険に」や、7月7日の「Pegasus Airline から漏洩した 6.5TB の機密情報:CSPM があれば AWS S3 バケットを守れたのか?」といった記事がありました。また、2021年9月30日の「Amazon AWS Cloud でのインシデント対応:どこから考え始めれば良いのか?」も、とても良くまとまった記事です。よろしければ、ご参照ください。