新しい週が来るたびに、個人データが安全に保護されずにインターネット上に公開されたという、新たな気がかりな発見がもたらされているようです。ポルノ、大麻、医療記録などさまざまな業界にわたるさまざまな企業が、解析が困難な方法で失敗を犯し、すべて同じ被害者、つまりあなたのプライバシーを犠牲にしています。
規模や重大度はさまざまですが、多くの場合、ニュース価値のある各事件は 1 つのテーマで結び付けられます。Amazon S3 バケット顧客、医療、または財務データが含まれており、適切なノウハウを持った人が盗むことはできません。
なぜこのようなことが起こり続けるのかという疑問は重要な問題であり、残念なことにすぐには消えることはありません。
Amazon S3 バケットとは正確には何なのか疑問に思われるかもしれません。短く単純化した答えは、これは一部の企業がデータを保管するために料金を支払う仮想ストレージ ユニットであるということです。詳細については後ほど説明します。
次の質問は、おそらくもっと鋭いものになるでしょう。「これはすべて Amazon のせいですか?」確かに巨大企業は何らかの責任がある一般的に私たちのプライバシーの侵害。しかし、あなたのあらゆる個人情報が過去に暴露され、そしておそらく将来も暴露される理由は、はるかに複雑です。
残念ながら、それは予防がより困難になることも意味します。
露出
セキュリティ研究者やハッカーがオンラインで個人情報を見つけると、その情報は安全でない Amazon S3 バケットに保管されていることがよくあります。私たちはこのようなことを何度も目にしますが、多くの場合、極めて憂慮すべき結果。
数億件のFacebookユーザー記録が残っている目の前に座っている。出生証明書のコピーの申請件数は約80万件食べるのに熟した。何万人もの大麻ユーザーの個人情報が実質的に流出盗まれることを懇願している。このようなインシデントは、さらに多くのインシデントが存在しますが、すべて 1 つのクラウド コンピューティング プラットフォームによって結び付けられます。アマゾン ウェブ サービス。
それで、ここで何が起こっているのでしょうか?顧客が単に製品を悪用しているだけなのでしょうか、それともデータの偶発的な漏洩を避けられない何らかの設計上の欠陥があるのでしょうか?
この質問に答えるために、私は S3 バケットとサイバー犯罪に精通したさまざまなセキュリティ専門家に話を聞きました。また、私はアマゾンに記録上の声明を求めるよう繰り返し連絡を取りました。私は、なぜ同社のサービスがこれほど多くのプライバシーの喪失を統一する要因となっているのかを、同社自身の言葉で説明する機会を提供したいと考えました。
同社はコメントを控えた。
私はまた、自らの顧客データを台無しにして暴露した多数の企業にも連絡を取りました。 Amazon S3 の顧客の観点から、なぜこのようなことが起こり続けるのかを理解したいと思いました。当然のことかもしれませんが、誰も私の要求に応じませんでした。
ありがたいことに、誤って設定されたバケットの混乱を招くことがある世界を理解しようとしている人のために、セキュリティの専門家が喜んで専門知識を共有してくれます。
まず、この文脈における「バケット」が何であるかを理解することが重要です。最も単純に考えると、PC の「フォルダー」のようなものかもしれません。言い換えれば、これは AWS の顧客が Amazon に保管のために支払っているファイルを整理する方法です。
「S3 バケットは、コンテンツをホストするための優れた方法です」とセキュリティ会社のエグゼクティブファウンダー、ダン テントラー氏は説明しました。フォボスグループ、メールで。 「ログの保存、アップロードされたユーザー コンテンツの保存、巨大なデータ処理クラスターからの出力など、さまざまな目的で AWS を活用しているショップがよくあります。たとえば、Slack にアップロードしたすべてのファイルは S3 に保存されます。バケツ!」
一部のバケット (顧客の電子メールや電話番号の企業データベースなど) は、管理者が非公開に設定する必要があります。他のバケットには公開情報が含まれており、意図的に公開に設定されています。これは理にかなっています。
両者が混同されると問題が発生します。
マッシュ可能な光の速度
それらのバケツをチェックしてください。 クレジット: アマゾン
「結局のところ、この種の事故を 2 つの山に分類するのは簡単です。つまり、気にする人々と気にしない人々です」とテントラー氏は書いています。 「ほぼすべての場合、この種の侵害の責任は、無関心な人たちにあります。彼らは、S3 のセキュリティ設定について読み、バケットを設定するときに正しくデプロイするのに 5 分もかからなかったのです。」
重要なのは、アマゾンS3バケットを保護しますデフォルトでは。言い換えれば、どこを探せばよいのかを知っている古いハッカーやセキュリティ研究者がバケットに公的にアクセスできるようにするためには、前述した約 80 万件の出生証明書のコピーの申請の場合と同様に、誰かが積極的に失敗しなければならないのです。あるいは、テントラーが言うように、気にする必要はありません。
おそらく、一部の顧客を愚か者と呼ぶのは難しいのではないでしょうか?
人間のエラー許容量は無限ですが、この S3 バケット エラーは 3 つの異なる方法で発生する傾向があります。たとえば、AWS の顧客が機密データを取得し、それを誤って公開設定されているバケットに入れてしまう可能性があります。あるいは、同じ AWS 顧客が誤ってバケット全体の設定をパブリックに変更した可能性が高くなります。もう 1 つの、あまり慈善的ではない説明ですが、管理者が、ある種の 1 回限りのデータ共有ショートカットとしてプライベート バケットの設定をパブリックに一時的に変更し、その後、元に戻すのを忘れたというものです。
これら 3 つのケースすべてで責任は顧客にありますが、最初の 2 つのケースは、バケットがパブリックにアクセス可能であることを管理者に明示的かつ即時に明らかにするために Amazon ができる限りのことを行っていないことを示唆しています。
それなのに...
上の画像を確認してください。 2017 年後半の時点で、S3 コンソールのバックエンドがどのようなものかを示しています。何か気づきましたか?具体的には、バケットが公開されているかどうかを管理者に伝える「アクセス」列全体があります。
見逃すのはかなり難しいです。
前述したように、私はこの間違いが繰り返される理由を突き止めるために Amazon に問い合わせましたが、記録上の返答は得られませんでした。
おそらく、一部の顧客を愚か者と呼ぶのは難しいのではないでしょうか?
失敗するように設定する
ある意味、アマゾン ウェブ サービスは自らの成功の犠牲者です。
ガートナーによるとテクノロジー顧問会社である Amazon は、2018 年に、AWS が属する「サービスとしてのインフラストラクチャ」市場全体の 47.8 パーセントを獲得しました。言い換えれば、Amazon は、バケットを適切に保護する方法を知っている Web サイト管理者にも、そうでない管理者にも人気があるということです。
明確にしておきますが、誤って設定される場合があるのはアマゾン ウェブ サービスの製品だけではありません。ちょうど今年の 4 月に、マイクロソフトのクラウド サーバーが誤って構成され、ユーザーの個人データが漏洩した可能性があることを知りました。8,000万世帯。おっと。
「『クラウド』の利用は諸刃の剣だ」とテントラー氏は書いている。 「一方で、大規模な操作、テラバイト規模のデータのホスト、新しいサイトやアプリケーションの展開が簡単になりました。一方で、非常に簡単になったため、以前は「自分自身」だった参入障壁がなくなりました。 「乗るには少なくともこれくらい身長が高くないといけない」ということはなくなり、文字通り誰でもできるようになりました。」
基本的に、管理者が S3 バケットの適切な構成について何も知らず、時間をかけて学習しない場合、全員のデータが危険にさらされることになります。
ヴィクター・ジェヴァース、非営利団体と協力しているセキュリティ研究者GDI財団セキュリティの脆弱性を発見して開示することについては、Tentler と合意しました。彼はまず Twitter のダイレクト メッセージで、S3 バケットはデフォルトでは非公開であることを強調しましたが、その後、ひねり出す価値のある例え話をしました。
Amazon の顧客だけに責任を負わせるのは、ちょっとした取り締まりです。
「したがって、ファイルが公的にアクセス可能になった場合、これは顧客によって行われたことになる」と同氏は書いている。 「ドライバーが事故を起こす可能性があると自動車会社を責めることができますか?」
しかし、車の設計に欠陥がある場合はどうなるでしょうか?
アップガードという会社は、請求書自体「企業がサイバーセキュリティリスクを管理するのを支援する」として、データがインターネット上に公開されたままになっている場合に企業に警告します。長年にわたり、UpGuard の研究者は、誤って設定された S3 バケット上で何百万件ものプライベート レコードが公開されていることを発見しました。そして、同社のマーケティング担当副社長であるカウシク・セン氏は、2019年12月に次のように書いている。ブログ投稿、Amazonの顧客だけに責任を負わせるのは、ちょっとした取り締まりです。
同氏は「AWSのせいで、S3ユーザーがバケットの設定を誤ってインターネット経由で完全に公開できるようにしてしまったというのがわれわれの見解だ」と述べた。 「デフォルトでより優れたセキュリティソリューションを作成できるかどうかは AWS の責任です。」
UpGuard のリスクアナリスト、Chris Vickery 氏は電子メールで次のように付け加えました。「結局のところ、『設定を誤る可能性がある場合、一部のユーザーは設定を誤る』という経験則に帰着します。」
Vickery は、Amazon が顧客を失敗に導く具体的な例を Mashable に共有しました。
同氏は、「多くの人は、(『グローバル認証ユーザー』の)オプションのアクセス設定により、組織内でストレージリポジトリが『グローバル』に開かれると考えてきたが、それでも一般の人々がそのリポジトリ内のアイテムをダウンロードすることは許可されていない」と説明した。 「しかし、Amazon では、グローバル認証ユーザーをアマゾン ウェブ サービス (AWS) にログインしている世界中のあらゆるユーザーと見なしています。エンドユーザーがこの結果を考慮しないのはおそらく正当化されるでしょう。そのような設定が実際に行われるとは私には不可解です。」そもそもオプションとして含めるべきだ。」
関連項目:亡くなった退役軍人がどのようにしてセラピーアプリのインスタグラム広告の顔になったのか
残念ながら、少なくとも現時点では、Amazon が明確にするためにどのような措置を講じても、誤って設定されたバケットの急増を止めるには十分ではないようです。そのため、あなたの個人データに関するアカウントが再び読み取られ、犯罪者やセキュリティ研究者が見つけられるようにインターネット上に公開されたままになることが予想されます。
テクノロジーって偉大じゃないですか?