編集部からのお知らせ
新型コロナ禍が組み替えるシステム
テレワーク関連記事一覧はこちら

FedEx、個人情報をパスワード無しの状態で「Amazon S3」に放置

Zack Whittaker (ZDNet.com) 翻訳校正: 編集部

2018-02-16 12:39

 FedExで何千人分の顧客の情報が外部にさらされていたことが明らかになった。サーバをパスワードで保護していなかったのが原因だ。

 Kromtech Security Research Centerの研究者Bob Diachenko氏は、米国時間2月15日、FedExの顧客データ漏えいリスクについて公表した。データは「Amazon S3」ストレージサーバ上にパスワード無しの状態でホスティングされていたが、FedExは連絡を受けてパスワードをかけた。

FedEx
提供:file photo

 サーバは、米国の小売業者が製品をオンラインで国外の消費者に販売するのを支援するBongo Internationalのものだ。Bongo Internationalは、送料や関税の計算や通貨換算なども行っていた。FedExは2014年にBongoを買収し、その後「FedEx CrossBorder」と名称変更した。だが、同部門のサービスは2017年4月に終了している。

 このサービスは、米郵便公社(USPS)のフォームに入力することで登録できるようになっていた。これにより、私書箱を使用する顧客らは、配達物の取り扱い方法を定めていた。

 サーバ上でアクセス可能な状態にあったのは、これらの暗号化されていないプライベートな顧客の記録だ。

 サーバには11万9000件以上のファイルがあり、この中にIDや、配達物の処理を許可するUSPSフォームも含まれていた。

 記録の多くは米国のものだが、アジア(日本、マレーシア、中国など)、オーストラリア、欧州、中東などの国の記録もあった。米ZDNetが確認したところ、アクセス可能な状態だったファイルとして、運転免許証、国民識別番号、会社が発給する従業員IDカード、投票カード、公共料金の請求書などがあった。履歴書、健康保険証、銃器ライセンス、米軍の身分証明書などがあった他、顧客が自分のIDを証明するのに使ったクレジットカード情報も含まれていた。その中には、オランダの国防省職員のものもあった。

 USPSのフォームには名前、住所、電話番号、手書きの署名などが記載されている。

 サーバ上のドキュメントは2008年から2015年9月までのものが確認された。IDカードの多くがすでに有効期限切れだが、比較的新しくアップロードされたドキュメントは現在も有効であり、顧客はID窃盗の被害に遭うリスクがある。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    テレワークで起こりがちなトラブルの原因「資料が自宅から閲覧できない」にどう対処する?

  2. 経営

    CIOが成功するための最大の条件は「CEOとの連携」にあり?!516名のCIO調査を紐解く

  3. 経営

    【働き方改革事例】PCの調達・管理に関する不安を解決するサブスクリプションサービス

  4. クラウドコンピューティング

    【DX解説書】もっともDXに不向きな〇〇業界が取り組むべき改革とは?

  5. クラウドコンピューティング

    今すぐ「働き方改革」に着手するべき、2つの理由と改革への第一歩

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]