Mitigaは11月16日(米国時間)、「Oops, I Leaked It Again — How Mitiga Found PII in Exposed Amazon RDS Snapshots」において、Amazon Web Servicesの分散リレーショナルデータベースサービス「Amazon Relational Database Service (Amazon RDS)」上の数百のデータベースが、個人識別情報(PII: Personally Identifiable Information)を漏洩させていると伝えた。
このような個人情報の漏洩は、サイバーキルチェーンの偵察段階やエクストーションウェア/ランサムウェアなどのキャンペーンにおいて宝の山になる可能性を秘めていると指摘されている。
クラウドインシデント対応を行うMitigaの調査により、Amazon RDSのデータベースから個人識別情報が漏れていることが明らかとなった。個人識別情報には、氏名、電子メールアドレス、電話番号、生年月日、配偶者の有無、レンタカー情報、さらには会社のログイン情報などが含まれているという。
Amazon RDSは、Amazon Web Services(AWS)クラウド上にリレーショナルデータベースを構築することを可能にするWebサービス。MariaDB、MySQL、Oracle、PostgreSQL、SQL Serverなど、さまざまなデータベースエンジンに対応している。
今回の情報漏洩の根本的な原因は、パブリックRDSスナップショットと呼ばれる機能に起因するとされている。この機能によって、クラウド上で動作するデータベース環境全体のバックアップを作成すること、すべてのAWSアカウントでアクセスすることが可能とされている。
機密データの漏洩や悪用、その他セキュリティ上の脅威を防ぐため、RDSスナップショットは一般に公開しないことが強く推奨されている。また、権限を適切に管理することやアクセス許可を最小限にすること、スナップショットを暗号化することなども望まれている。