【IT】アクセンチュア、機密情報を危険なサーバに放置--秘密鍵やパスワードが外部に
■ このスレッドは過去ログ倉庫に格納されています
Accentureが大量の機密データを4台の安全ではないサーバ上にうっかり置いていたことを認めた。機密性の高いパスワードや秘密鍵を外部にさらしてしまったため、自社と顧客に大きな打撃を与えかねない事態だった。
4台のサーバはAmazon Web Services(AWS)のストレージサービス「Amazon S3」でホスティングしており、数百Gバイトものエンタープライズクラウド製品のデータを格納していた。Accentureのクラウド製品はFortune Globalの上位100社に含まれる多数の企業が利用しているという。
サーバのWebアドレスさえ分かっていれば、パスワードなしでデータをダウンロードできる状態だったという。
データを発見したのは、セキュリティ企業UpGuardのサイバーリスク調査担当ディレクター、Chris Vickery氏だ。同氏は9月中旬にAccentureに非公開で報告した。4台のサーバは翌日ひそかに安全対策が講じられたという。
Vickery氏は先週、ZDNetの電話取材に対し、4台のサーバには「宝への鍵」となるデータが含まれていたと説明した。各サーバは、なりすましに必要となる秘密鍵やパスワードなど、さまざまなセキュリティ認証情報があったという。パスワードにはテキストの形で保存されていたものもあったとのことだ。
Vickery氏はまた、AWSのKey Management System(KMS)でAccentureが使用するマスターキーも発見した。これが盗まれると、攻撃者はAccentureがAWSのサーバに格納している暗号化データを完全に制御できてしまう。
セキュリティ専門家のKenneth White氏は、マスターキーの漏えいは「クラウドサービスプロバイダーとしてはこれ以上ないぐらい最悪の事態」と述べた。「このKMSマスターキーで保護されている資産とインフラは、完全に侵入されたと思ってよい」(White氏)
あるサーバには、Accentureと同社の顧客の間の暗号化通信の複号に必要な鍵と証明書が格納されていた。Vickery氏によると、Accentureが「Google Cloud Platform」、「Microsoft Azure」にアクセスするのに必要だと思われる証明書も含まれていたという。やはりこれが盗まれると、攻撃者はAccentureの社内ネットワークへのアクセスを可能にする仮想プライベートネットワークキーに加えて、クラウド資産へのアクセスを手に入れることができる。
https://japan.zdnet.com/article/35108606/ 「やっぱ クラウドは信用できねえ・・・」
みんなそう思ってんだろ・・・
もう おわりだよ
コスト・便利さ追求しすぎで 信用無くしてる >>3
クラウドガーじゃないよ
クラウドの運用ができてないて話だ
このレベルならオンプレでもやらかすよ >>7
でも高級取りなんですよ・・・
かんぽにも入り込んできた
となりで仕事してたけど
もう口八丁手八丁
外資はすごいね アクセンチュアなんて特許庁でコンサル詐欺やったところだろ
さもありなんw >>3
ワロタwwwwwwwwww
AWSとかに着いて来れないオッサンあたりはみんなそんな事思ってそう
今時メインフレームしかできないCOBOLerとか、決められた通りにコンソール打つしかできない
オペレーターとかな >>4
でもストレージならDMZの内側の話だろうから問題にはならんかったろうね >>9
後はお前ら奴隷が適当にやっとけよ!じゃあな! プライベート領域と勘違いしてS3にデータ上げちゃう事故は良くある
プライベートサブネットからアクセス可能なのにアップしたらインターネットに公開とかもはや仕様に悪意がある
VPC専用のS3出さないAWSもAWSだと思うわ 企業経営者、ならびに大企業にお勤めの皆さん。
あなたは例えば、2ちゃんねるの西村ひろゆきが作ったOSを搭載したパソコンで
会社の仕事ができますか?
「何も仕掛けてませんよ。安心して使ってください。ソースコードは見せられませんが」という。
もちろんできないでしょう。しかし、あなたがたが今まさに会社で使っているそのパソコンは
そういうシロモノと何も変わらないシロモノなのです。
あなたがたが秘密裏に会社の製品の情報を偽装したり、会計の不正を行ったりしている情報も
すべてどこかに筒抜けでデータベースに保存されてるのですよ。
あなたがたの会社のその不正を「どこでいつ世間にリークすれば倒産させられるか」、そして
何食わぬ顔で買収に名乗り出て乗っ取ることができるか、「彼ら」は常に見計らっているのです。
彼らの悪意から会社と自分の地位を守るには、不正を働かないことが第一なのです。
それができないなら、少なくとも今すぐ、Linuxのようなオープンソースで安全なOSのパソコンに
乗り換えるしか方法はないでしょうね。
【PC】Linuxシェア増加で5%に近づく - 9月OSシェア
https://egg.5ch.net/test/read.cgi/bizplus/1507451545/
【社会】犯人は韓国語を使う人物 日本のホテル宿泊客の端末から情報窃取被害相次ぐ 企業幹部や研究者が標的か
http://daily.2ch.net/test/read.cgi/newsplus/1415813925/
>攻撃者は韓国語か朝鮮語を使う人物で、企業幹部らの宿泊予定を
>あらかじめ把握しているもよう。
>少なくとも4年前からスパイ活動を続けているという。
http://hayabusa3.2ch.net/test/read.cgi/news/1402618866/
【国際】内部告発サイト「ウィキリークス」 CIAによる秘密ハッキング計画に関する大量の文書を公開 スノーデン氏暴露より大規模か
http://daily.2ch.net/test/read.cgi/newsplus/1488905744/
【ウィキリークス】『CIA史上最大の暴露』 テレビの内蔵マイクで室内の会話を盗聴や車をハッキングしコントロールする技術を開発
http://daily.2ch.net/test/read.cgi/newsplus/1489022719/
CIAがPCやスマートフォンにハッキングしてアクセスしていたことを、ウィキリークスが暴露
http://hayabusa8.2ch.net/test/read.cgi/news/1489068066/l50
用心深いfacebook会長のマーク・ザッカーバーグ氏、ノートPCのカメラとマイク入力をテープで塞いでいた
https://japan.cnet.com/article/35084737/ オラは某半島系セキュリティ
関連企業の公式・サポート
サイトがえらいことになってる
のに気付いて、
逆恨みされたらかなわんから、
IPA経由で対策してもろうたこと
あるよ。
対策でけたと2ヶ月くらい経って
報告きたけど、何で時間かかった
かさっぱりわからん。
そういえば、公式におわびの
一言も掲載されなかったな。 Amazon S3は安全ではないサーバだぞ、よく覚えとけ S3がサーバー?
KVSチックなストレージだと思っていたが・・・。 わざわざ認証無しにしたバケットへ
秘密鍵やらKMSのマスターキーやら認証情報やら置くとか
逆にどうしたらそうなるのか不思議だわ。
普通に運用してたらS3は認証ありなのにな。 20年前に友人の勤め先がアクセンチュアを利用してひどいめにあった話を聞いた
たぶん多くの人が信じないだろうってぐらいふざけた話だった
いまだにのうのうと商売やってんのかよと思う ユーザー「おたく、機密情報漏らしたりなんかしてないよね?」
賑やかにSNSで情報発信する独立系SIer出身者「も、も、もちろんです」 実は、ITに弱いITコンサル会社?
40万で雇った派遣を200万で売りつける会社?
エンロンで社名を変えた会社?
知らんがな。 何処のクラウド使うでもファイルはすべて暗号化(公開鍵暗号)だろうが!
PKI無くしてクラウド利用は有りえんわw アウトソーシング屋さんでしょ。
日本の官公庁にも入り込んでいるからね >>2
コンサルを忌々しく思ってる人多いんやね
ワイもやけどなwwwww S3をストレージに使ってるWebサーバに侵入して、ストレージ内のファイルを覗き見される脆弱性がある。というのとKMSのマスター鍵を書いてあったファイルがその中に置いてあった、だろ?
ま、セキュリティの知識不足でAWSのシステムを構築するとこうなるという典型的な例だね。 アクセンチュアは
プレゼンは凄いのだけれども
実運用は・・・・・・・・・・・・・ 平文のパスワードwwww
AWS使えば大丈夫とかお花畑過ぎる コンサルがやってるのが余計やべえ
下請けの開発屋とは意味が違うんだが
ドヤ顔で公演できないやん >>29
そう。2012年の特許庁新システム中止の原因になった。
開発費の99億2500万円を特許庁のトップと東芝と暴力団の末端企業が
ぐるになってガメたからな
あとで、このアクセンチュアと東芝ソリューションは
56億円は返したけど残りの53億円は戻ってこなかったw
もう、何やってもオワコンの犯罪天国日本w >>33
コンサル、弁護士、マスコミ
日本の三大リッチな嫌われ者 IT企業出身の中途組はバラツキがでかい。
T哀なんとか出身者とかネットで社内事情を暴露とか真正の馬鹿なのか クソコンサルがセキュリティケチってるのを見ると終わりだな。 こいつら経営コンサルタント顔してるけど、要はただのIT土方だよな セキュリティのコンサルしてる会社がこれだと
レベルが知れるね 北朝鮮が韓国軍から作戦計画を盗んだのは韓国製ウィルス対策ソフトベンダをハッキングして、そこから軍内部にウィルス入れたんだってね。怖いねー。 「こうすれば良い」と言っただけです。
誰も「こうすれば成功する」とは言ってませんよ ☆ 私たち日本人の、日本国憲法を改正しましょう。総務省の、
『憲法改正国民投票法』、でググってみてください。
2017年10月22日(日)の衆議院選挙は、ぜひ投票に行きましょう。
平和は勝ち取るものです。お願い致します。☆☆ ■ このスレッドは過去ログ倉庫に格納されています