アクセンチュア、機密情報を危険なサーバに放置--秘密鍵やパスワードが外部に

Zack Whittaker (ZDNET.com) 翻訳校正: 編集部

2017-10-11 14:13

 Accentureが大量の機密データを4台の安全ではないサーバ上にうっかり置いていたことを認めた。機密性の高いパスワードや秘密鍵を外部にさらしてしまったため、自社と顧客に大きな打撃を与えかねない事態だった。


提供:file photo

 4台のサーバはAmazon Web Services(AWS)のストレージサービス「Amazon S3」でホスティングしており、数百Gバイトものエンタープライズクラウド製品のデータを格納していた。Accentureのクラウド製品はFortune Globalの上位100社に含まれる多数の企業が利用しているという。

 サーバのWebアドレスさえ分かっていれば、パスワードなしでデータをダウンロードできる状態だったという。

 データを発見したのは、セキュリティ企業UpGuardのサイバーリスク調査担当ディレクター、Chris Vickery氏だ。同氏は9月中旬にAccentureに非公開で報告した。4台のサーバは翌日ひそかに安全対策が講じられたという。

 Vickery氏は先週、ZDNetの電話取材に対し、4台のサーバには「宝への鍵」となるデータが含まれていたと説明した。各サーバは、なりすましに必要となる秘密鍵やパスワードなど、さまざまなセキュリティ認証情報があったという。パスワードにはテキストの形で保存されていたものもあったとのことだ。

 Vickery氏はまた、AWSのKey Management System(KMS)でAccentureが使用するマスターキーも発見した。これが盗まれると、攻撃者はAccentureがAWSのサーバに格納している暗号化データを完全に制御できてしまう。

 セキュリティ専門家のKenneth White氏は、マスターキーの漏えいは「クラウドサービスプロバイダーとしてはこれ以上ないぐらい最悪の事態」と述べた。「このKMSマスターキーで保護されている資産とインフラは、完全に侵入されたと思ってよい」(White氏)

 あるサーバには、Accentureと同社の顧客の間の暗号化通信の複号に必要な鍵と証明書が格納されていた。Vickery氏によると、Accentureが「Google Cloud Platform」、「Microsoft Azure」にアクセスするのに必要だと思われる証明書も含まれていたという。やはりこれが盗まれると、攻撃者はAccentureの社内ネットワークへのアクセスを可能にする仮想プライベートネットワークキーに加えて、クラウド資産へのアクセスを手に入れることができる。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]