asouuo
  • AMDのRadeon RX 6700 XTはあまりにも優れているので、在庫が十分にあることを祈っています
Headlines

Amazonのエンジニアが秘密の暗号鍵を漏洩。外部のアナリストが数分で発見

05 mins
Amazonのエンジニアが秘密の暗号鍵を漏洩。外部のアナリストが数分で発見

先週、アマゾン ウェブ サービス (AWS) のエンジニアが、自身の個人文書や、さまざまな AWS 環境のパスワードや暗号キーなど、約 1 ギガバイト相当の機密データを誤って公開してしまいました。

こうした種類の漏洩は珍しくも特別でもありませんが、ここで注目すべきは、従業員の認証情報が第三者によっていかに迅速に回復され、その第三者が(従業員にとっては幸運だったかもしれませんが)すぐに会社に警告したことです。

1月13日の朝、LinkedInでDevOpsクラウドエンジニアと名乗るAWS社員が、約1ギガバイト相当のデータを、自身の名前を冠した個人用GitHubリポジトリにコミットしました。約30分後、カリフォルニアに拠点を置くセキュリティ企業UpGuardの製品担当副社長、グレッグ・ポロック氏は、このリポジトリを標的とした検知エンジンから、潜在的な漏洩に関する通知を受け取りました。

https://[削除されたリンク]/nobody-listened-1840663763

アナリストは、アラートの具体的な原因の検証に着手しました。約2時間後、ポロック氏は、データがリポジトリに誤ってコミットされ、AWS自身だけでなく、従業員にも脅威となる可能性があると確信しました。「この公開されているデータを精査した結果、貴社から発信された、ある程度の機密性を持つデータが存在し、インターネット上に公開されているという結論に達しました」と、彼はAWSにメールで伝えました。

AWS は約 4 時間後に感謝の意を表し、リポジトリは突然オフラインになりました。

スクリーンショット: UpGuard
スクリーンショット: UpGuard

UpGuardのアナリストは認証情報を自らテストしていないため(これは違法となるため)、具体的にどのような情報へのアクセスを許可しているのかは不明です。AWSの広報担当者は水曜日にGizmodoに対し、すべてのファイルは個人的な性質のものであり、従業員の業務とは無関係であると述べました。顧客データや社内システムは漏洩していないとのことです。

ただし、キャッシュ内のドキュメントの少なくとも一部には、「Amazon Confidential」というラベルが付けられています。

スクリーンショット: UpGuard
スクリーンショット: UpGuard

これらの文書にはAWSキーとRSAキーのペアが含まれており、一部には「mock」や「test」とマークされています。しかし、他のキーには「admin」や「cloud」とマークされています。また、「rootkey」というラベルが付けられているものもあり、システムの特権制御を示唆しています。他のパスワードはメールサービスに関連付けられています。さらに、さまざまなサードパーティ製品の認証トークンやAPIキーも多数含まれています。

AWSはGizmodoに対して公式声明を提供しなかった。

スクリーンショット: UpGuard
「Amazon Confidential」とマークされたトレーニング資料スクリーンショット: UpGuard

GitHubは最終的にAWSに対し、このデータが公開されていることを警告していた可能性があります。UpGuardと同様に、GitHub自体も公開リポジトリを自動スキャンし、特定の企業リストが発行した認証情報を探します。仮にGitHubがAWSの認証情報を検知していたとしたら、AWSに警告していたはずです。AWSはその後、「適切な措置」を講じ、おそらくキーを失効させたでしょう。

しかし、AWS従業員が漏洩した認証情報のすべてがGitHubで検出されるわけではありません。GitHubは特定の企業が発行した特定の種類のトークンのみを検出します。UpGuardの自動ソフトウェアが鍵を見つけるのに要した速度は、他の組織が同様の能力を持っているかどうかという懸念を生じさせます。世界中の多くの諜報機関が、その中に含まれていることは間違いありません。

GitHubは、ユーザーがアップロードした漏洩した認証情報を特定するための取り組みを約5年前に本格的に開始しましたが、昨年、ノースカロライナ州立大学(NCSU)の調査でAPIトークンとキーをホストする10万以上のリポジトリが発見されたことを受けて、厳しい調査を受けました。(注目すべきは、研究者が調査したのは、公開リポジトリ全体のわずか13%に過ぎず、そのリポジトリだけでも数十億ものファイルが含まれていたことです。)

NCSU の研究者が調査したデータの中には Amazon のアクセスキー ID と認証トークンが含まれていましたが、漏洩した認証情報の大部分は Google サービスにリンクされていました。

GitHubはコメントの要請に応じなかった。

UpGuard社は、早期発見の重要性を示し、クラウドセキュリティが人為的ミスから逃れられないわけではないことを強調するために、この事件を公表することにしたと述べている。

「Amazon Web Servicesはパブリッククラウドサービスの最大手プロバイダーであり、市場シェアの約半分を占めています」とポロック氏は述べた。「2019年には、Amazonの元従業員がキャピタル・ワンから1億件以上の融資申込書を盗んだとされる事件が発生し、このような大規模で集中的なデータ処理機関における内部脅威に伴うデータ損失の規模の大きさを浮き彫りにしました。」

ポロック氏は、今回のケースでは、エンジニアが悪意を持って行動したという証拠も、顧客データが影響を受けたという証拠もないと付け加えた。「むしろ、このケースは、小さな事故が大きなインシデントに発展するのを防ぐために、迅速なデータ漏洩検知の重要性を示している」

Tagged:

Related News