AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register) | ScanNetSecurity
2020.07.14(火)

AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

これはまさに個人情報の宝庫であり、「全世界にわたる金融業界の重要人物が網羅」された、実際のリスク管理上もコンプライアンス上も問題がある、始末に悪い顧客情報の流出事件となった。

国際 TheRegister
ダウ・ジョーンズは、さまざまな社内データベース (たとえばウオールストリートジャーナルの購読者名簿など) をクラウド上で収集し管理する際に必要な、適切なセキュリティ管理を怠ったまま、ベライゾンにサービスを提供した。

そして個人情報が流出したことを、UpGuard 社のクリス・ヴィッキーがこの記事で明るみに出している。

この情報流失の経緯は、ありがちで単純明快なものだ。担当者の誰かが、「関係者にのみ公開」(semi-public access) に設定されているクラウド上のレポジトリー (収納場所) にデータベースを誤って置いたため、「本来保護されるべき、数百万名に上る同社顧客の個人情報ならびに経済的状況」が人目にさらされたのだ。

この記事によれば、「ダウ・ジョーンズは顧客220万名分が影響を受けたことを認めたが、アップガード社の推計によれば、流出したアカウントの数は400万近くに上る」という。

このレポジトリーはAWSのS3バケットの一部だが、その個人情報保護の設定が間違っていた。担当者は認定ユーザーのみが利用できる設定をしたつもりだったのだろうが、ダウ・ジョーンズ社関連のアカウントの保有者だけではなく、すべてのAWS認定ユーザーへの公開になったことには気が付いていなかったようだ。

《The Register》

関連記事

PageTop

特集

アクセスランキング

  1. 情報漏えいにつながる危険な PDF 利用 - Microsoft Word 網掛け機能誤解、情報公開し注意喚起(大船渡市)

    情報漏えいにつながる危険な PDF 利用 - Microsoft Word 網掛け機能誤解、情報公開し注意喚起(大船渡市)

  2. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  3. 複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC)

    複数のBIG-IP製品に、攻撃の踏み台にされるなどの脆弱性(JPCERT/CC)

  4. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  5. 石川県と兵庫県の一部エリアで電話・FAXの誤着信が発生(NTT西日本)

    石川県と兵庫県の一部エリアで電話・FAXの誤着信が発生(NTT西日本)

  6. 「サイバー空間でも逃さない」令和2年度サイバー犯罪捜査官、採用選考受付8月3日から(大阪府警察)

    「サイバー空間でも逃さない」令和2年度サイバー犯罪捜査官、採用選考受付8月3日から(大阪府警察)

  7. 最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA)

    最新の状況に刷新「TLS暗号設定ガイドライン」など公開(NICT、IPA)

  8. ダークネット観測網へのスキャン活動、活発な状況が続く(NICT)

    ダークネット観測網へのスキャン活動、活発な状況が続く(NICT)

  9. 新たにBYOD端末からの不正アクセスが判明(NTT Com)

    新たにBYOD端末からの不正アクセスが判明(NTT Com)

  10. セブン銀行をかたるフィッシングに対する注意喚起(フィッシング対策協議会)

    セブン銀行をかたるフィッシングに対する注意喚起(フィッシング対策協議会)

ランキングをもっと見る