多くの企業がBoxアカウント経由で機密データを誤って公開--Adversisが報告書

Catalin Cimpanu (Special to ZDNET.com) 翻訳校正: 編集部

2019-03-12 11:25

 オンラインストレージサービスBox.comのEnterpriseアカウントを使用している企業は、社内ファイルや機密文書、独自技術を誤って公開してしまっているおそれがある。

提供:Image: Box
提供:Image: Box

 サイバーセキュリティ企業のAdversisによると、情報漏えいの原因は人的ミスだという。Adversisはこの問題について調査し、Boxや影響を受けた複数の企業と問題を解決するための作業をした。

 問題は、Box.comアカウント所有者がファイルやフォルダの共有リンクにデフォルトのアクセスレベルである「People in your company(社内のユーザー)」を設定せず、新しく作成されるすべてのリンクが一般に公開されてしまうようにしている場合に発生する。

 さらにユーザーがランダムな文字列の代わりにバニティURLを使用してリンクをカスタマイズすることを組織が許可している場合、これらのファイルのリンクが辞書攻撃によって推測されてしまうおそれがある。

 Adversisが米国時間3月11日に発表した報告によると、同社は2018年に、Box.comをスキャンして大企業に属するアカウントを探し、従業員が過去に共有したファイルやフォルダのバニティURLを推測しようと試みた。

 その努力は無駄ではなかった。以下のような機密性の高いデータが大量に見つかったと同社は述べる。

  • 何百枚ものパスポート写真
  • 社会保障番号と銀行口座番号
  • 注目に値する技術のプロトタイプや設計ファイル
  • 従業員リスト
  • 財務データ、請求明細書、社内の課題追跡システム
  • 顧客リストと何年分もの社内会議のアーカイブ
  • ITデータ、VPN構成、ネットワーク図

 Adversisの調査結果の一部を把握していたTechCrunchによると、社内ファイルを誤って公開した企業には、AppleやDiscovery Channel、Herbalife、Schneider Electricのほか、Box自体も含まれるという。

 これらのファイル漏えいのほとんどは修正されており、Boxは2018年9月、Box.comの共有リンクに不適切なアクセス許可を使用することの危険性について、すべての顧客に通知した。

 Boxの広報担当者は米ZDNetへの電子メールで、「われわれは、企業全体のオープンリンクに関するさまざまなレポートを作成したり、オープンURLやカスタムURLを無効にしたりするための管理ツールを顧客企業に提供している。管理者は、ユーザーが誤って(ファイルを)パブリックとして設定する可能性を制限するために、『People in your company(社内のユーザー)』をすべての共有リンクのデフォルト設定にすることもできる」と述べた。

 Box.comのアカウント管理者はアカウントの設定を確認し、Boxが11日付けのブログで説明しているツールを使い、従業員がこれまでに外部からアクセス可能なリンクをいくつ作成したかを確認するよう推奨されている。

 セキュリティ研究者のRobbie Wiggins氏は米ZDNetの取材に対し、今後数日のうちにBoxの外部からアクセス可能なURLのスキャンが爆発的に増えるとの予測を語った。

 同氏の発言は、Adversisが2018年に使用したツールをオープンソースにしたことを考慮したうえでのものだ。

 このツールを既に実行したWiggins氏は、Boxアカウントを持つ2900を超える企業を特定したが、まだ一般に公開されているファイルは見つからなかったと述べている。

UPDATE2019年03月12日 15:50

 Box日本法人からZDNet Japan編集部に以下のコメントが寄せられた。

Boxは、セキュリティについて常に真剣に考えており、お客様にも正しいレベルのセキュリティやコンテンツへのアクセスコントロールができるようにサービスを提供しています。

今回の件に関しては、事実として標準の共有リンクをクラックされたわけではありません。そして、Boxは、もしリンクをクラックされたとしても、権限を社内限定にしておけば情報漏えいにはなりません。

Boxではコンテンツのアクセスコントロールのレベルを正しく運用していただくことで安全にご利用いただくことができます。

なお、適切な運用方法についてはブログに掲載されており、より正しくご理解いただくために近日、日本語訳をご用意する予定です。

現在の共有リンクの運用、例えば、現在公開している共有リンクを確認する方法等の詳細もブログでご確認いただけます。
https://blog.box.com/blog/using-box-shared-links-securely

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]