有権者情報のバックアップファイルが保存されていたAWSのAmazon S3バケットは、一般にアクセスできる設定になっていた。
米シカゴの有権者180万人あまりの個人情報が保存されていたAmazon Web Services(AWS)のサーバ設定に不備があり、有権者情報が一般にアクセスできる状態で露呈されていたことが発覚した。
セキュリティ企業UpGuardの8月17日のブログによると、この問題を発見した同社の研究者は、有権者情報が記録されたバックアップファイルをダウンロードして、シカゴ選挙管理委員会に8月12日に通報した。
問題のバックアップファイルには、有権者180万人の氏名、住所、生年月日、社会保障番号の下4けた、免許証などの情報が記載されていた。
選挙管理委員会の発表によると、この情報は、業務を委託していたElection Systems & Software(ES&S)がAWSのサーバに保存していたもので、選管から連絡を受けたES&Sは直ちにセキュリティ対策を講じて、問題のAWSサーバを閉鎖したとしている。
UpGuardによると、データが露呈されていたのは、AWSのAmazon S3バケットが一般にアクセスできる設定になっていたことが原因だった。AWSのデフォルトの設定では、許可されたユーザーしかデータにはアクセスできないという。「もしこの設定を変更する場合は、データの露呈を確実に発見して是正するための対策を講じなければならない」とUpGuardは強調している。
AWSのようなクラウドの設定ミスが原因で、センシティブなデータが露呈する問題は過去にも見付かっている。UpGuardが引用したGartnerの推計によれば、情報流出の70〜99%は外部からの攻撃によるものではなく、社内の関係者によるITシステムの設定ミスに起因しているという。
Copyright © ITmedia, Inc. All Rights Reserved.