サーバー設定ミス
大規模情報漏洩
Rubrik

データ管理大手のRubrikに、顧客情報データの大規模漏洩の可能性

次の記事

Samsungのメモリチップ新製品でスマートフォンの内蔵ストレージが1TBになるだろう

サーバーセキュリティ上の過失によって、ITセキュリティならびにクラウドデータ管理の大手企業Rubrikが管理する、膨大な顧客情報データベースが外部からアクセス可能な状態になっていた。

同社は、セキュリティ研究者のOliver Houghが発見した問題を受けて、TechCrunchが警告を行ってから1時間以内(米国時間火曜日)にサーバーをオフラインにした。外部に晒されていたサーバーは、パスワードで保護されておらず、サーバーのアドレスを知っているものなら誰でもアクセスできる状態だった。

Amazon Elasticsearchサーバー上で運用されていたデータベース自体は、各企業顧客の顧客名、連絡先情報、ケースワークなどの、数十ギガバイトのデータを格納していた。

内部のタイムスタンプによれば、データは2018年10月までさかのぼると考えられている。

データベースの一部は同社の法人顧客専用であり、顧客がRubrikのスタッフと問題点や苦情をやり取りするためのものだった。これには、システムに取り込まれた顧客からの電子メールの内容が(多くの場合には、名前、役職、電話番号を伴う電子メールの署名なども)含まれていた。ざっとしたレビューを行った結果、私たちは顧客の設定と構成に関する機密情報が含まれた電子メールも発見した。

各企業のレコードには、アカウントの重要性を判断するための、Global 2000またはFortune 500ランクの企業かどうかなどの説明的なプロファイル情報、ならびにキーパーソンの名前と電話番号も含まれていた。

この33億ドルと評価されたITユニコーンが、最近セキュリティとコンプライアンスサービスへの拡大を発表した事を考えると、この出来事は皮肉なことと言わざるを得ない。

Rubrikは何千もの重要な顧客を抱えているが、なかでもスコットランド政府、米国国防総省、CarePoint Healthなどの有名組織との取引をWebサイトで宣伝している。

だが、この顧客情報データベースは、Deloitte、Shell、Amalgamated Bank、英国保健局、国土安全保障局、その他の連邦政府部門なども同社の顧客層であることを示していた。

声明の中で、Rubrikは現在調査中だと述べている。

「顧客サポートのための新しいソリューションを開発している最中に、顧客企業の連絡先情報とサポート履歴データのサブセットを含むサンドボックス環境が、一時的にアクセス可能になった可能性があります」とRubrikの広報担当者は語る。「私たちはこの問題をすぐに修正しました」。

また「私たちは顧客の皆さま自身が所有されているデータは漏洩していないことも確認致しました」と広報担当者は付け加えた。同社はまた「この問題を発見したセキュリティ研究者以外には、誰もこの環境にアクセスしていません」と主張しているが、特にその証拠は示されていない。

誰がアクセスしたのかはわからないが、今回公開されていたサーバーはShodanの上にインデックスされていた。Shodanとは公開されているデバイスとデータベースの発見を容易にする検索エンジンである。

「私たちは原因が人間のエラーであったことにたどり着きました。ディフォルトアクセスの設定が私たちの標準にそって変更されていなかったのです。それが二度と起こらないようにするために、私たちは自分たちのプロセスに変更を加えました。プライバシーとセキュリティは私たちの最大の関心事です。私たちはこの間違いを心からお詫び申し上げます」と広報担当者は述べた。

Rubrikは、データ侵害の通知に関する法律に従って、顧客または州の規制当局に通知を行うか否かを明らかにしていない。

公表されたデータに欧州の企業が含まれていることを考えると、EUが最近実施したGDPRデータ保護ルールに違反していると判断された場合、Rubrikは世界的な年間売上の最大4%の罰金を課せられる可能性がある。

今回のRubrikのデータ漏洩は、データ管理とバックアップでの競合相手であるVeeamが、やはりデータ漏洩で何百万もの電子メールアドレスをアクセス可能な状態にしてからわずか数ヶ月後に発生したものだ。

Here’s what to expect in cybersecurity in 2019

[原文へ]
(翻訳:sako)