eSecurity Planetは11月17日(米国時間)、「One in Five Public-Facing Cloud Storage Buckets Expose Sensitive Data|eSecurityPlanet」において、一般公開されているクラウドストレージパケットの20%に個人識別情報(PII: Personally Identifiable Information)が含まれていると伝えた。それらの大半はそもそもオンラインで公開されるべきデータではないとされている。

  • One in Five Public-Facing Cloud Storage Buckets Expose Sensitive Data|eSecurityPlanet

    One in Five Public-Facing Cloud Storage Buckets Expose Sensitive Data|eSecurityPlanet

公開されているクラウドストレージバケットについて、5つに1つが個人識別情報を含んでいることが、Laminar Labsのセキュリティ研究チームの調査によって明らかとなった。研究者が発見した機密データには、主に次のようなものが含まれているという。

  • 異なるWebサイトでサードパーティのチャットボットサービスを利用したユーザーの名前、電話番号、電子メールアドレス、ボットに送信したメッセージなどの個人識別情報を含むファイル(失業給付を求めるユーザなど)
  • 氏名、融資額、クレジットスコア、金利など、融資の詳細を含むファイル
  • スポーツ大会の参加者レポート(氏名、住所、郵便番号、電子メール・アドレス、医療情報など)
  • 名前、電子メール・アドレス、物理的な住所を含むVIP招待リスト
  • 氏名、イーサリアムおよびビットコインのアドレス情報、ブロックカードの電子メールアドレスが記載されたファイル

企業は、自社環境にどのような公開された機密データがあるのかを知る必要があると述べられている。非公開のAmazon S3バケットには、公開されている特定のファイルやオブジェクトが含まれていることがあり、Webサイトのように意図的に公開されているバケットには、誤ってそこに置かれた個人識別情報が含まれている可能性があると指摘されている。

セキュリティをインフラ中心ではなくデータ中心で考え、クラウド環境内のすべてのデータをカタログ化し、機密情報を非公開にしつつ、公開ファイルにアクセスできるようにすることが、この問題の解決策につながると説明されている。