企業向けクラウド大手のCloudera(クラウデラ)は、セキュリティ調査員が内部の機密ファイルを発見したことを受けて、当初は「設計上オープンである」と主張していたにもかかわらず、いくつかのクラウドストレージサーバーをオフラインにした。
セキュリティ会社のUpGuardのリスクリサーチ担当ディレクターであるChris Vickery(クリス・ビッカリー)氏は、7月下旬にAmazon Web Services上でホストされているBuckets(バケット)として知られるクラウドストレージサーバーを発見。そこには、2019年1月に52億ドル(約5513億円)で完全株式合併を行う前のHortonworks(ホートンワークス)のデータが含まれていた。
連絡を受けたClouderaの広報担当者であるMadge Miller(マッジ・ミラー)氏はTechCrunchに対し、バケットはオープンなものとされており、同社の顧客やユーザー、より広いコミュニティに公開されているファイルやコードが含まれていたと語った。しかし同社によると、機密情報を含む3つのファイルを特定し、バケットから削除したという。しかし、その後すぐに同社は方針を180度転換し、バケットを完全にオフラインに戻した。
調査結果をTechCrunchと独占的に共有したビッカリー氏によると、クラウドバケット内のファイルの大部分は公開およびコミュニティでの利用を目的としたものだったが、Clouderaがソフトウェアプロジェクトの構築およびテストに使用している社内Jenkinsシステム(ソフトウェア開発のビルド 、 テスト 、およびデプロイに関連する部分を自動化するサーバー)の認証情報、アカウントアクセストークン、パスワード、その他の機密情報を含むファイルも発見されたとのこと。同氏によると、バケットには社内のビルドデータベース用のSQLデータベース全体も含まれていたという。
Clouderaは、後日TechCrunchに送ってきたメールで、セキュリティ上の過失を認めた。「セキュリティ調査員からの質問のおかげで、我々は深く掘り下げてみたところ、公開バケットに置かれるべきではなかったいくつかの資格情報とSQLダンプを発見しました。クレデンシャル(ユーザー認証ナドに用いられる情報の総称)は内部のJenkinsビルドプロセスのもので、SQLダンプはビルドデータベースのものでした」と広報担当者は説明した。
「その後、この情報をパブリックバケットから削除し、クレデンシャルを変更したりキーを回転させたりすることで、さらなる改善策を講じました。また、いくつかの未使用のパブリックアクセス可能なバケットへのアクセスを閉鎖できると判断しました」と担当者は続けた。同社によると、削除された機密データには、顧客データやその他の個人を特定できる情報は含まれていなかったという。
全体的に見ると、今回のセキュリティ上の過ちはもっとひどいものだったかもしれない。しかしビッカリー氏は「圧倒的に大きなクラウドストレージコンテナを使用することに内在するリスクを明らかにするため、この事件は開示することが重要である」と語る。「言い換えればバケットは非常に大きくファイル数も多いため、何か機密性の高いものが誤って追加されたときに気づくことがほとんど不可能になってしまうのです」とのこと。
「これだけ多くのディレクトリやさまざまな形式のファイルが一緒に保管されていると、それらの中に誤って何かを入れてしまい、気づかれないままになってしまうことは、よくあるミスでしょう」とビッカリー氏は締めくくった。
画像クレジット: Michael Nagle /Bloomberg / Getty Images
[原文へ]
(翻訳:TechCrunch Japan)