米国防総省が市民のネット投稿を監視か? AWSの設定ミスで露呈
米国防総省が収集したと思われる個人のニュースへのコメントやSNSへの投稿などが、AWSのユーザーなら誰でもダウンロードできてしまう状態で、AWS S3のバケットに保存されていた。
セキュリティ企業のUpGuardは11月17日、米国防総省による情報収集活動を通じて、個人のSNSなどから収集したと思われる大量のデータが、誰にでもダウンロードできてしまう状態で、クラウドベースのストレージサーバに保存されているのが見つかったと伝えた。
UpGuardによると、今回見つかったデータは、中東とアジア太平洋で米軍の活動を担う米中央軍と太平洋軍によって収集されたものと思われ、Amazon Web Services(AWS)S3のクラウドストレージで、AWSに認証されたユーザーであれば、誰でも閲覧してダウンロードできてしまう状態で2017年9月6日に発見された。
問題のバケットは3つあり、それぞれ「centcom-backup」「centcom-archive」「pacom-archive」というサブドメイン名が付けられて、データレポジトリの重要性が一目で分かる状態だったという。
3つのバケットのうちの1つでは、世界各国のユーザーがさまざまな言語でインターネットに投稿したニュースのコメントや、FacebookなどSNSへの投稿、Webフォーラムへの投稿など、過去8年分の投稿が少なくとも18億件保存されていた。
これらデータの保存に使われていたソフトウェアは、国防総省の請負業者で、今は存在しない「VendorX」という民間企業が開発、運用を行っていたという。
収集内容には、米国のユーザーによる投稿も多数あったことから、「国防総省の米国人に対する監視活動の程度や合法性について、深刻な懸念を生じさせる」とUpGuardは指摘。法を順守している世界中のユーザーのデータを収集する理由や目的もはっきりしないとしている。
UpGuardはこれまでにも、AWSの設定ミスが原因で、米国の有権者情報やVerizonの加入者情報などが、無防備な状態に置かれている問題を相次いで報告していた。
関連記事
- 180万人の有権者情報が露呈、AWSの設定ミスに警鐘
有権者情報のバックアップファイルが保存されていたAWSのAmazon S3バケットは、一般にアクセスできる設定になっていた。 - 米有権者1億9800万人の個人情報、共和党系の情報分析会社から流出
クラウドで運営していたデータベースの設定ミスが原因で、有権者の氏名、生年月日、自宅の住所、電話番号、有権者登録情報、さらには人種や宗教といった情報までが、誰にでもアクセスできる状態になっていた。 - Verizon加入者1400万人の個人情報、業務委託先が「無防備状態」でクラウドに保存
Verizonから業務を委託された企業は、加入者の氏名、住所、暗証番号などの情報をAmazon S3に保存していたが、URLさえ分かれば誰でもアクセスしてデータをダウンロードできてしまう状態だったという。 - AWSがセキュリティ体制を公開「データの安全性はオンプレミス以上」
AWSは、クラウドでもセキュリティは確保できると主張。同社データセンターのセキュリティ体制を例に挙げて安全性をアピールした。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.