パスワードを忘れた? アカウント作成
13461611 story
アメリカ合衆国

米軍が過去8年にわたって収集した大量のインターネット投稿、Amazon S3で誤って公開されていたことが判明 15

ストーリー by hylom
さすがの規模 部門より
headless曰く、

セキュリティ企業UpGuardのCyber Risk Teamは17日、米軍が過去8年にわたり収集した大量のインターネット投稿を含む3つのAmazon S3バケットが公開状態になっていたことを公表した(UpGuard — Breach Analysis BlogThe RegisterArs Technica)。

3つのバケットのAWSサブドメインは「centcom-backup」「centcom-archive」「pacom-archive」となっており、AWSアカウントでログインすれば誰でも閲覧可能な状態になっていたという。CENTCOMは米中央軍、PACOMは米太平洋軍の略称だ。データは米政府の委託業者「VendorX」が管理していたものとみられている。

VendorXに関する情報は少ないが、従業員のLinkedInページによれば、米中央軍および米国防総省の委託を受けて「Outpost」という多言語のソーシャルアナリティックスプラットフォームを開発・運用していたようだ。Outpostは世界の不安定な地域で(テロリストになる)リスクの高い若者に良い影響を与えることを目的として作られたとされる。

インターネット投稿はニュースサイトのコメント欄やソーシャルメディアなどからスクレイプされたもので、centcom-backupおよびcentcom-archiveでは中東や南アジアからの投稿が中心だが、米国市民による投稿も含まれていたそうだ。一方、pacom-archiveでは東南アジアや東アジアからの投稿が中心で、オーストラリアからの投稿も含まれていたとのこと。ただし、投稿の中には紛争とは無縁な地域からのものや、全く無害な内容のものも多数含まれており、無関係な投稿を大量に収集していた理由は不明だ。

centcom-backupにはスクレイピングされたインターネット投稿のほか、Outpost関連とみられるファイルや、諜報対象者のつながりを分析する「Coral Reef」関連とみられるファイル、Apache Luceneのインデックスファイルも含まれていたという。一方、centcom-archiveとpacom-archiveには未処理のインターネット投稿が大量に含まれており、centcom-archiveだけで少なくとも18億件に上るそうだ。

AWSでは誤設定によりデータが公開状態になるトラブルが繰り返し発生しており、警告表示などの対策が追加されているが、UpGuardが問題を発見したのは対策適用前の9月6日だったという。UpGuardは問題を米軍に通知し、現在バケットは非表示化されている。UpGuardのChris Vickery氏によれば、米軍に対する連絡は一方通行になるものだが、今回は珍しく感謝の返信が届いたとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • こうかい (スコア:4, おもしろおかしい)

    by hakikuma (47737) on 2017年11月22日 15時10分 (#3316746)
    米軍は今頃、後悔してるんだろうな
  • by nim (10479) on 2017年11月22日 15時01分 (#3316737)

    みんな間違いやすいから注意な。

    バケット→bucket (てか、この記事も「バケツ」じゃいかんの?)
    パケット→packet
    バゲット→baguette(パン)

    パン屋にあったり、レストランで出てくるやつは「バゲット」な。
    「バケット」って行ってるやつはちゃんと勉強してくれよな。

  • by Anonymous Coward on 2017年11月22日 15時27分 (#3316762)

    そういう発想ぐらいもっとけよ

    • by Anonymous Coward

      アクセス制限をかけてない某情報商材屋はamazon S3のファイルのディレクトリ丸見えでビデオからPDFから全部見てるようになってる
      Googleでクロールされてるからもうどうしようもない

      • by Anonymous Coward

        アクセス制限かければいいのでは…

        • by Anonymous Coward

          S3ってデフォルトで非公開設定じゃなかったっけ?
          なんで公開されてるわけ?

    • by Anonymous Coward

      Amazonの運用管理者にはってこと?
      だとしたら、どんな設定しててもダメだね

      まぁシステム管理者が悪者だったらというのを考えたらキリがないけどw

    • by Anonymous Coward

      なお紙の資料なら処理業者にそのまま渡しても流出にならない(それどころか当然だとのたまう)不思議の国ニッポン

  • by Anonymous Coward on 2017年11月22日 21時03分 (#3317041)

    ちょっとまえのAWS S3の設定画面は、権限設定がすごくわかりづらいから、このミスは仕方ない。
    AWSのUIが悪すぎる。

    • by Anonymous Coward

      先行者利益って凄いわな
      今からならGoogleかAzureの方がいいのに今でもAWS選択する奴いるし

      • by Anonymous Coward

        https://speakerdeck.com/isoparametric/grand-orderniokeru-deiraitowakus... [speakerdeck.com]

        こういう状況はもう解消されたのかなぁ。
        Azureでしかもサバクラ両方C#なのにMySQL? とか思わなくもないけど。
        Azureも今は当時よりもさらにMAXのスペックが向上してはいるらしいけど、こんなでかい事例は周りにないし、経験したこともない。

        • by Anonymous Coward

          やっぱり自動的につけられる漢字のローマ字表記は中国語読みになっちゃうのね。そりゃ辺境のマイナーな上一意ですらない読みになんかいちいち対応してられないよな。

typodupeerror

人生unstable -- あるハッカー

読み込み中...