9月5日(米国時間)、Threatpostに掲載された次の2つの記事が、Amazon Web Services S3のバケットに外部からアクセス可能な状態で個人情報がデプロイされていたと伝えた。どちらのケースも大容量のデータが任意のユーザからアクセス可能な状態にあったと説明しており、データ漏洩が発生していた可能性が指摘されている。

このところ、Amazon Web Services S3のバケットを誤った設定にしていることでデータ漏洩が発生していたケースが多数指摘されている。S3バケットはデフォルトではブロックする設定になっているとのことだが、理由があってアクセス可能にしていたことが結果として外部からのアクセスを許可する結果につながったとされている。

今回、AWS S3で個人情報がアクセス可能な状態になっていたことが判明したのは、クラウドサービスプロバイダーのBroadSoftと民間警備会社のTigerSwanだ。

セキュリティベンダーのKromtechによると、BroadSoftに関しては、同社の顧客のトランザクションID、ユーザー名、Macアドレス、シリアル番号を含む400万件を超えるレコード、容量にして600GBの機密データがアクセスできる状況にあったという。

また、セキュリティベンダーのUpGuardによると、TigerSwanに関しては、同社の雇用に関連したデータがアクセスできる状況にあったが、同社の業務上、求職者は退役軍人が占めており、彼らの住所、電話番号、職歴、電子メールアドレスが含まれていたという。

クラウドサービスはオンプレミスな環境を用意するよりも初期費用を抑え、かつ、準備の時間を短縮できることから、運用時のコストを抑えることができる場合は大量のデータをクラウドサービスで保持するケースが増えている。しかし、誤った設定をしてしまうと、すぐにアクセスできてはならないデータを世界中に公開することになってしまう。サービスを利用する際はアクセス設定に十分に注意する必要がある。