セキュリティベンダーのUpGuardは10月10日(米国時間)、「System Shock: How A Cloud Leak Exposed Accenture's Business」において、コンサルティング企業であるAccentureにおいてデータ漏洩のセキュリティインシデントが発生したと伝えた。少なくとも同社が利用している4つのクラウドベースのストレージサーバ上のデータがアクセス可能な状態になっていたことから、シークレットAPIデータ、資格認証情報、証書、解読鍵、顧客情報などのデータが取得可能だったとされている。
これらのストレージサーバは、Accentureが提供しているクラウド管理プラットフォーム「Accenture Cloud Platform」で利用されており、これらデータを悪用されると、Accentureおよび同社の顧客が損害を受けるおそれがあると指摘している。
UpGuard Cyber Risk ResearchのディレクターであるChris Vickery氏は9月17日、パブリックアクセスが可能な4つのAmazon Web Services S3のストレージバケットを発見。これらサーバのデータを分析したところ、重要なAccentureの内部データが含まれていたことが明らかになったとしている。UpGuardはAccentureへセキュリティインシデントを報告し、翌日には安全な設定に変更されたと説明がある。
|
UpGuardが発見したAccentureの内部データの例 |
今回のインシデントでは、かなりの数のトップ企業の重要なデータが漏洩したおそれがある。今後、サイバー攻撃に悪用され、被害がより広範囲に及ぶことも懸念される。ここ最近、今回のようにAmazon Web Services S3バケットの設定を誤ったことによる大規模なデータ漏洩が続いており、Amazon Web Services S3の利用者は再度設定を見直すことが推奨される。
