サイバーセキュリティ企業UpGuardのCyber Risk Teamは米国時間8月9日、「Amazon Simple Storage Service」(Amazon S3)のバケット設定に問題があったため、ホスティングサービスを手がけるGoDaddyの内部情報が流出した可能性があると発表した。
同チームによると、この設定ミスにより、同バケットに残されていた一部のドキュメントが公開状態になっていたという。
UpGuardによると、公開されていたデータには「膨大な数にのぼるシステムの高レベルの設定情報のほか、さまざまなシナリオにおける割引を含む、AWS上でそれらシステムを稼働させるうえでの料金オプションに関する情報」が含まれていたという。
公開状態となっていた設定ファイルには、少なくとも2万4000のシステムに関するホスト名やOS、ワークロード、AWSのリージョン、メモリ、CPU仕様などが記されていたという。
UpGuardによると「このデータは本質的に、極めて大規模なAWSクラウドインフラの配備を網羅したものであり、個々のシステムにおける41種類の情報に加えて、合計や平均、その他の計算フィールドに関するサマリデータやモデル化されたデータもあった」という。
公開されていた「abbottgodaddy」というバケットには、GoDaddyとAWS間での価格交渉情報を含む両社の関係についての内部情報と考えられるデータも含まれていた。こういったデータは非公開となっているべきものだ。
この種の情報が漏えいした場合、GoDaddyは破滅的な影響を受けかねない。このようなデータ一式が、漏えい情報を販売しようとする悪者の手に落ちた場合、さらにはライバル企業の手に渡った場合、GoDaddyの経営に大きな損害がもたらされる可能性もある。詰まるところ、営業秘密や知的財産がなければ、企業は他社と競合していけないのだ。
今回の一件は、UpGuardによって6月19日に発見されていた。しかし、GoDaddyが同社の通知に対応し、バケットのアクセス設定を修正したのはそれから1カ月以上たった7月26日のことだったという。
AWSの広報担当者は米ZDNetに対して、「該当バケットは、AWSの営業担当者が顧客とやり取りするなかで、予想されるAWSの価格シナリオを格納するために、同担当者によって作成された」と述べ、「公開されたバケットにはGoDaddyの顧客情報は含まれていなかった。Amazon S3はデフォルトでセキュアな設定がなされており、バケットへのアクセスはデフォルト設定ではアカウントの所有者とルート管理者のみに限られている。同担当者は今回の特定バケットに関して、AWSのベストプラクティスに従っていなかった」と続けた。
GoDaddyは、漏えいした文書に書かれているのは推測モデルであり、同社とAmazonによる現在の活動とは関係ないと述べている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。