オンラインストレージサービスBox.comのEnterpriseアカウントを使用している企業は、社内ファイルや機密文書、独自技術を誤って公開してしまっているおそれがある。
提供:Image: Box
サイバーセキュリティ企業のAdversisによると、情報漏えいの原因は人的ミスだという。Adversisはこの問題について調査し、Boxや影響を受けた複数の企業と問題を解決するための作業をした。
問題は、Box.comアカウント所有者がファイルやフォルダの共有リンクにデフォルトのアクセスレベルである「People in your company(社内のユーザー)」を設定せず、新しく作成されるすべてのリンクが一般に公開されてしまうようにしている場合に発生する。
さらにユーザーがランダムな文字列の代わりにバニティURLを使用してリンクをカスタマイズすることを組織が許可している場合、これらのファイルのリンクが辞書攻撃によって推測されてしまうおそれがある。
Adversisが米国時間3月11日に発表した報告によると、同社は2018年に、Box.comをスキャンして大企業に属するアカウントを探し、従業員が過去に共有したファイルやフォルダのバニティURLを推測しようと試みた。
その努力は無駄ではなかった。以下のような機密性の高いデータが大量に見つかったと同社は述べる。
- 何百枚ものパスポート写真
- 社会保障番号と銀行口座番号
- 注目に値する技術のプロトタイプや設計ファイル
- 従業員リスト
- 財務データ、請求明細書、社内の課題追跡システム
- 顧客リストと何年分もの社内会議のアーカイブ
- ITデータ、VPN構成、ネットワーク図
Adversisの調査結果の一部を把握していたTechCrunchによると、社内ファイルを誤って公開した企業には、AppleやDiscovery Channel、Herbalife、Schneider Electricのほか、Box自体も含まれるという。
これらのファイル漏えいのほとんどは修正されており、Boxは2018年9月、Box.comの共有リンクに不適切なアクセス許可を使用することの危険性について、すべての顧客に通知した。
Boxの広報担当者は米ZDNetへの電子メールで、「われわれは、企業全体のオープンリンクに関するさまざまなレポートを作成したり、オープンURLやカスタムURLを無効にしたりするための管理ツールを顧客企業に提供している。管理者は、ユーザーが誤って(ファイルを)パブリックとして設定する可能性を制限するために、『People in your company(社内のユーザー)』をすべての共有リンクのデフォルト設定にすることもできる」と述べた。
Box.comのアカウント管理者はアカウントの設定を確認し、Boxが11日付けのブログで説明しているツールを使い、従業員がこれまでに外部からアクセス可能なリンクをいくつ作成したかを確認するよう推奨されている。
セキュリティ研究者のRobbie Wiggins氏は米ZDNetの取材に対し、今後数日のうちにBoxの外部からアクセス可能なURLのスキャンが爆発的に増えるとの予測を語った。
同氏の発言は、Adversisが2018年に使用したツールをオープンソースにしたことを考慮したうえでのものだ。
このツールを既に実行したWiggins氏は、Boxアカウントを持つ2900を超える企業を特定したが、まだ一般に公開されているファイルは見つからなかったと述べている。
UPDATE2019年03月12日 15:50Box日本法人からZDNet Japan編集部に以下のコメントが寄せられた。
Boxは、セキュリティについて常に真剣に考えており、お客様にも正しいレベルのセキュリティやコンテンツへのアクセスコントロールができるようにサービスを提供しています。
今回の件に関しては、事実として標準の共有リンクをクラックされたわけではありません。そして、Boxは、もしリンクをクラックされたとしても、権限を社内限定にしておけば情報漏えいにはなりません。
Boxではコンテンツのアクセスコントロールのレベルを正しく運用していただくことで安全にご利用いただくことができます。
なお、適切な運用方法についてはブログに掲載されており、より正しくご理解いただくために近日、日本語訳をご用意する予定です。
現在の共有リンクの運用、例えば、現在公開している共有リンクを確認する方法等の詳細もブログでご確認いただけます。
https://blog.box.com/blog/using-box-shared-links-securely
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
