今度は米軍の機密情報が露呈、相次ぐAWSの設定ミス発覚

[鈴木聖子，ITmedia]

AWS S3内に米陸軍とNSAでつくる情報機関「INSCOM」の名称が付いたサブドメインが見つかった（出典：UpGuard）

　セキュリティ企業のUpGuardは11月28日、米陸軍と米国家安全保障局（NSA）が関わる情報機関の機密情報が、一般ユーザーにアクセスできる状態で、Amazon Web Services（AWS）S3のバケットに保存されているのが見つかったと伝えた。

　UpGuardはこれまでにも、AWSの設定ミスが原因で、米国防総省が収集した情報やVerizonの加入者情報といった重要データが無防備な状態に置かれている問題を相次いで告発していた。しかし、明らかな機密指定情報が見つかったのは今回が初めてだとしている。

　同社によると、問題のAWS S3クラウドストレージバケットが見つかったのは2017年9月27日。URLを入力すれば、誰でも内容を参照できてしまう状態だった。

　このS3バケットでは、3本のファイルがダウンロード可能な状態にあり、中には高度な機密に指定された国家安全保障にかかわるデータなどが含まれていたという。米陸軍とNSAでつくる情報機関「INSCOM」の名称が付いたサブドメインもあり、一見して重要性が分かる状態だったとしている。

　こうした情報が露呈された原因は、「IT環境内部のプロセスエラー」にあるとUpGuardは解説し、S3バケットのパーミッションを適切に設定していれば、このような形の情報流出は避けることが可能だったと指摘している。