多くの企業がBoxアカウント経由で機密データを誤って公開--Adversisが報告書

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 編集部 2019年03月12日 11時25分

  • このエントリーをはてなブックマークに追加
  • 印刷

 オンラインストレージサービスBox.comのEnterpriseアカウントを使用している企業は、社内ファイルや機密文書、独自技術を誤って公開してしまっているおそれがある。

提供:Image: Box
提供:Image: Box

 サイバーセキュリティ企業のAdversisによると、情報漏えいの原因は人的ミスだという。Adversisはこの問題について調査し、Boxや影響を受けた複数の企業と問題を解決するための作業をした。

 問題は、Box.comアカウント所有者がファイルやフォルダの共有リンクにデフォルトのアクセスレベルである「People in your company(社内のユーザー)」を設定せず、新しく作成されるすべてのリンクが一般に公開されてしまうようにしている場合に発生する。

 さらにユーザーがランダムな文字列の代わりにバニティURLを使用してリンクをカスタマイズすることを組織が許可している場合、これらのファイルのリンクが辞書攻撃によって推測されてしまうおそれがある。

 Adversisが米国時間3月11日に発表した報告によると、同社は2018年に、Box.comをスキャンして大企業に属するアカウントを探し、従業員が過去に共有したファイルやフォルダのバニティURLを推測しようと試みた。

 その努力は無駄ではなかった。以下のような機密性の高いデータが大量に見つかったと同社は述べる。

  • 何百枚ものパスポート写真
  • 社会保障番号と銀行口座番号
  • 注目に値する技術のプロトタイプや設計ファイル
  • 従業員リスト
  • 財務データ、請求明細書、社内の課題追跡システム
  • 顧客リストと何年分もの社内会議のアーカイブ
  • ITデータ、VPN構成、ネットワーク図

 Adversisの調査結果の一部を把握していたTechCrunchによると、社内ファイルを誤って公開した企業には、AppleやDiscovery Channel、Herbalife、Schneider Electricのほか、Box自体も含まれるという。

 これらのファイル漏えいのほとんどは修正されており、Boxは2018年9月、Box.comの共有リンクに不適切なアクセス許可を使用することの危険性について、すべての顧客に通知した。

 Boxの広報担当者は米ZDNetへの電子メールで、「われわれは、企業全体のオープンリンクに関するさまざまなレポートを作成したり、オープンURLやカスタムURLを無効にしたりするための管理ツールを顧客企業に提供している。管理者は、ユーザーが誤って(ファイルを)パブリックとして設定する可能性を制限するために、『People in your company(社内のユーザー)』をすべての共有リンクのデフォルト設定にすることもできる」と述べた。

 Box.comのアカウント管理者はアカウントの設定を確認し、Boxが11日付けのブログで説明しているツールを使い、従業員がこれまでに外部からアクセス可能なリンクをいくつ作成したかを確認するよう推奨されている。

 セキュリティ研究者のRobbie Wiggins氏は米ZDNetの取材に対し、今後数日のうちにBoxの外部からアクセス可能なURLのスキャンが爆発的に増えるとの予測を語った。

 同氏の発言は、Adversisが2018年に使用したツールをオープンソースにしたことを考慮したうえでのものだ。

 このツールを既に実行したWiggins氏は、Boxアカウントを持つ2900を超える企業を特定したが、まだ一般に公開されているファイルは見つからなかったと述べている。

UPDATE2019年03月12日 15:50

 Box日本法人からZDNet Japan編集部に以下のコメントが寄せられた。

Boxは、セキュリティについて常に真剣に考えており、お客様にも正しいレベルのセキュリティやコンテンツへのアクセスコントロールができるようにサービスを提供しています。

今回の件に関しては、事実として標準の共有リンクをクラックされたわけではありません。そして、Boxは、もしリンクをクラックされたとしても、権限を社内限定にしておけば情報漏えいにはなりません。

Boxではコンテンツのアクセスコントロールのレベルを正しく運用していただくことで安全にご利用いただくことができます。

なお、適切な運用方法についてはブログに掲載されており、より正しくご理解いただくために近日、日本語訳をご用意する予定です。

現在の共有リンクの運用、例えば、現在公開している共有リンクを確認する方法等の詳細もブログでご確認いただけます。
https://blog.box.com/blog/using-box-shared-links-securely

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]