ITmedia NEWS > セキュリティ >
ニュース
» 2017年11月20日 09時00分 公開

米国防総省が市民のネット投稿を監視か? AWSの設定ミスで露呈

米国防総省が収集したと思われる個人のニュースへのコメントやSNSへの投稿などが、AWSのユーザーなら誰でもダウンロードできてしまう状態で、AWS S3のバケットに保存されていた。

[鈴木聖子,ITmedia]

 セキュリティ企業のUpGuardは11月17日、米国防総省による情報収集活動を通じて、個人のSNSなどから収集したと思われる大量のデータが、誰にでもダウンロードできてしまう状態で、クラウドベースのストレージサーバに保存されているのが見つかったと伝えた。

photo 問題を報じたUpGuardのページ

 UpGuardによると、今回見つかったデータは、中東とアジア太平洋で米軍の活動を担う米中央軍と太平洋軍によって収集されたものと思われ、Amazon Web Services(AWS)S3のクラウドストレージで、AWSに認証されたユーザーであれば、誰でも閲覧してダウンロードできてしまう状態で2017年9月6日に発見された。

 問題のバケットは3つあり、それぞれ「centcom-backup」「centcom-archive」「pacom-archive」というサブドメイン名が付けられて、データレポジトリの重要性が一目で分かる状態だったという。

photo 3つのバケットのうちの1つ「centcom-backup」では、SNSやWebフォーラムへの投稿が保存されていた(出典:UpGuard)

 3つのバケットのうちの1つでは、世界各国のユーザーがさまざまな言語でインターネットに投稿したニュースのコメントや、FacebookなどSNSへの投稿、Webフォーラムへの投稿など、過去8年分の投稿が少なくとも18億件保存されていた。

 これらデータの保存に使われていたソフトウェアは、国防総省の請負業者で、今は存在しない「VendorX」という民間企業が開発、運用を行っていたという。

 収集内容には、米国のユーザーによる投稿も多数あったことから、「国防総省の米国人に対する監視活動の程度や合法性について、深刻な懸念を生じさせる」とUpGuardは指摘。法を順守している世界中のユーザーのデータを収集する理由や目的もはっきりしないとしている。

 UpGuardはこれまでにも、AWSの設定ミスが原因で、米国の有権者情報Verizonの加入者情報などが、無防備な状態に置かれている問題を相次いで報告していた。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.