- 2017年11月29日
- セキュリティについて
USアーミーお前もか。AWSの設定ミスにより、極秘情報ダダ漏れ。
アメリカ陸軍とNSA(米国家安全保障局)が監督する情報組織に関する機密情報が、Amazon Web Services(AWS)のクラウドストレージに保存され、誰でも閲覧可能になっていたという事件がありました。
米陸軍の極秘情報がAWSで公開状態だったことが発覚(ZDnet)
多くの人に知られている通り、AWSは現在のアマゾンの利益の大半を稼いでいて、アマゾンの数多ある事業の中でも最重要事業の一つと考えられています。
AWSは絶好調、Amazonの全営業利益の半分以上を稼ぐ、利益率の高さも驚異的(テッククランチ)
そんなAWSですが、ユーザー側の超初歩的なミスによる情報漏洩です。
アメリカ陸軍とNSAが管理するデータが、サーバリストには載っていなかったもの、パスワードが設定されておらず、URLを入力すると、誰でも米政府の機密文書を探れるようになっていたということです。
そのサーバはAWSのサブドメイン「inscom」上にあったそうです。INSCOMは、情報組織である米陸軍情報保全コマンド(US Army Intelligence and Security Command)の略称で、それをセキュリティ企業UpGuardのサイバーリスク調査担当ディレクター、Chris Vickery氏がこのサーバを発見したとのことです。
Vickery氏は、最初に発見した時、信じられないほど簡単にアクセスできたため、最初「これは本物か?」と思ったとのことを報告しています。
AWSは、今では、アメリカ陸軍やNSAですら、自前でなくAWSを使う時代になっているのです。
多くの企業や政府が1民間企業にデータを預けている訳で、それはある意味では恐ろしいことなのかもしれません。