Dow Jonesの要注意人物リスト、誰でも閲覧できる状態に AWSの設定ミスで
米Dow Jonesがまとめた世界の要注意人物に関するデータベースが、誰にでも閲覧できてしまう状態でAWSのサーバ上に置かれていたという。
米Dow Jonesがまとめた世界の要注意人物に関するデータベースが、誰にでも閲覧できてしまう状態で、Amazon Web Services(AWS)のサーバ上に置かれているのが見つかったとして、セキュリティ専門家が2月27日のブログで伝えた。
このデータベース「Dow Jones Watchlist」は、セキュリティコンサルタントを手掛けるSecurity Discoveryのボブ・ディアチェンコ氏が2019年2月22日にAWSのElasticsearchで発見した。BinaryEdgeなどのパブリックIoT検索エンジンを使って発見でき、誰でも閲覧できる状態になっていたという。
データベースには、重大な犯罪に関わった人物や、各国の政治家、政治的影響力を持つ人物、その人物の家族や関係企業、犯罪歴やテロとの関係などが記録されていた。銀行などが取引先について調査し、マネーロンダリングや不正取引を洗い出す目的で使っていたと思われる。
ディアチェンコ氏がDow Jonesに連絡したところ、その日のうちにデータベースはアクセスできなくなった。Dow Jonesでは、「データは全て公になっている情報源から引き出した。調査した結果、サードパーティーによるAWSの設定ミスに起因することが分かった」と説明しているという。
ディアチェンコ氏によると、Dow Jones Watchlistは世界各国のニュースや雑誌、ブログなどから収集した情報をもとにまとめたもので、氏名や関係などについては調査チームが更新を行っているという。しかし、犯罪歴やテロとの関係などセンシティブな内容も含まれており、一般に流出させるのは無謀な行為だと同氏は指摘している。
関連記事
- 今度は米軍の機密情報が露呈、相次ぐAWSの設定ミス発覚
米陸軍と米国家安全保障局(NSA)が関わる情報機関の機密情報が、一般ユーザーにアクセスできる状態で、AWS S3のバケットに保存されていたという。 - 米国防総省が市民のネット投稿を監視か? AWSの設定ミスで露呈
米国防総省が収集したと思われる個人のニュースへのコメントやSNSへの投稿などが、AWSのユーザーなら誰でもダウンロードできてしまう状態で、AWS S3のバケットに保存されていた。 - 180万人の有権者情報が露呈、AWSの設定ミスに警鐘
有権者情報のバックアップファイルが保存されていたAWSのAmazon S3バケットは、一般にアクセスできる設定になっていた。 - Verizon加入者1400万人の個人情報、業務委託先が「無防備状態」でクラウドに保存
Verizonから業務を委託された企業は、加入者の氏名、住所、暗証番号などの情報をAmazon S3に保存していたが、URLさえ分かれば誰でもアクセスしてデータをダウンロードできてしまう状態だったという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.