Accentureが大量の機密データを4台の安全ではないサーバ上にうっかり置いていたことを認めた。機密性の高いパスワードや秘密鍵を外部にさらしてしまったため、自社と顧客に大きな打撃を与えかねない事態だった。
提供:file photo
4台のサーバはAmazon Web Services(AWS)のストレージサービス「Amazon S3」でホスティングしており、数百Gバイトものエンタープライズクラウド製品のデータを格納していた。Accentureのクラウド製品はFortune Globalの上位100社に含まれる多数の企業が利用しているという。
サーバのWebアドレスさえ分かっていれば、パスワードなしでデータをダウンロードできる状態だったという。
データを発見したのは、セキュリティ企業UpGuardのサイバーリスク調査担当ディレクター、Chris Vickery氏だ。同氏は9月中旬にAccentureに非公開で報告した。4台のサーバは翌日ひそかに安全対策が講じられたという。
Vickery氏は先週、ZDNetの電話取材に対し、4台のサーバには「宝への鍵」となるデータが含まれていたと説明した。各サーバは、なりすましに必要となる秘密鍵やパスワードなど、さまざまなセキュリティ認証情報があったという。パスワードにはテキストの形で保存されていたものもあったとのことだ。
Vickery氏はまた、AWSのKey Management System(KMS)でAccentureが使用するマスターキーも発見した。これが盗まれると、攻撃者はAccentureがAWSのサーバに格納している暗号化データを完全に制御できてしまう。
セキュリティ専門家のKenneth White氏は、マスターキーの漏えいは「クラウドサービスプロバイダーとしてはこれ以上ないぐらい最悪の事態」と述べた。「このKMSマスターキーで保護されている資産とインフラは、完全に侵入されたと思ってよい」(White氏)
あるサーバには、Accentureと同社の顧客の間の暗号化通信の複号に必要な鍵と証明書が格納されていた。Vickery氏によると、Accentureが「Google Cloud Platform」、「Microsoft Azure」にアクセスするのに必要だと思われる証明書も含まれていたという。やはりこれが盗まれると、攻撃者はAccentureの社内ネットワークへのアクセスを可能にする仮想プライベートネットワークキーに加えて、クラウド資産へのアクセスを手に入れることができる。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。