【IT】アクセンチュア、機密情報を危険なサーバに放置--秘密鍵やパスワードが外部に

[0001 ノチラ ★ 2017/10/11(水) 19:25:26.67 ID:CAP_USER]

　Accentureが大量の機密データを4台の安全ではないサーバ上にうっかり置いていたことを認めた。機密性の高いパスワードや秘密鍵を外部にさらしてしまったため、自社と顧客に大きな打撃を与えかねない事態だった。

4台のサーバはAmazon Web Services（AWS）のストレージサービス「Amazon S3」でホスティングしており、数百Gバイトものエンタープライズクラウド製品のデータを格納していた。Accentureのクラウド製品はFortune Globalの上位100社に含まれる多数の企業が利用しているという。

　サーバのWebアドレスさえ分かっていれば、パスワードなしでデータをダウンロードできる状態だったという。

　データを発見したのは、セキュリティ企業UpGuardのサイバーリスク調査担当ディレクター、Chris Vickery氏だ。同氏は9月中旬にAccentureに非公開で報告した。4台のサーバは翌日ひそかに安全対策が講じられたという。

　Vickery氏は先週、ZDNetの電話取材に対し、4台のサーバには「宝への鍵」となるデータが含まれていたと説明した。各サーバは、なりすましに必要となる秘密鍵やパスワードなど、さまざまなセキュリティ認証情報があったという。パスワードにはテキストの形で保存されていたものもあったとのことだ。

　Vickery氏はまた、AWSのKey Management System（KMS）でAccentureが使用するマスターキーも発見した。これが盗まれると、攻撃者はAccentureがAWSのサーバに格納している暗号化データを完全に制御できてしまう。

　セキュリティ専門家のKenneth White氏は、マスターキーの漏えいは「クラウドサービスプロバイダーとしてはこれ以上ないぐらい最悪の事態」と述べた。「このKMSマスターキーで保護されている資産とインフラは、完全に侵入されたと思ってよい」（White氏）

　あるサーバには、Accentureと同社の顧客の間の暗号化通信の複号に必要な鍵と証明書が格納されていた。Vickery氏によると、Accentureが「Google Cloud Platform」、「Microsoft Azure」にアクセスするのに必要だと思われる証明書も含まれていたという。やはりこれが盗まれると、攻撃者はAccentureの社内ネットワークへのアクセスを可能にする仮想プライベートネットワークキーに加えて、クラウド資産へのアクセスを手に入れることができる。
https://japan.zdnet.com/article/35108606/

[0004 名刺は切らしておりまして 2017/10/11(水) 19:32:03.17 ID:lrIVMGyf]

>>3
クラウドガーじゃないよ
クラウドの運用ができてないて話だ
このレベルならオンプレでもやらかすよ

[0005 名刺は切らしておりまして 2017/10/11(水) 19:33:27.32 ID:DMVFTchQ]

お前らの誰も関係無い話でわろた

[0006 名刺は切らしておりまして 2017/10/11(水) 19:35:41.91 ID:TBFPfUU8]

>>2
それがすべてだな。

[0007 名刺は切らしておりまして 2017/10/11(水) 19:36:32.01 ID:TDXhIUwQ]

やっぱうさんくせえと思ってたんだわこの会社ww

[0008 名刺は切らしておりまして 2017/10/11(水) 19:37:15.66 ID:uYr6voHS]

暗号化してないのかよ...

[0009 名刺は切らしておりまして 2017/10/11(水) 19:38:53.52 ID:yMfer2m8]

>>7
でも高級取りなんですよ・・・
かんぽにも入り込んできた
となりで仕事してたけど
もう口八丁手八丁
外資はすごいね

[0010 名刺は切らしておりまして 2017/10/11(水) 19:52:40.03 ID:wpeY/+j/]

アクセンチュアなんて特許庁でコンサル詐欺やったところだろ
さもありなんw

[0011 名刺は切らしておりまして 2017/10/11(水) 20:04:47.66 ID:INI/FSLL]

>>3
ワロタwwwwwwwwww
AWSとかに着いて来れないオッサンあたりはみんなそんな事思ってそう

今時メインフレームしかできないCOBOLerとか、決められた通りにコンソール打つしかできない
オペレーターとかな

[0012 名刺は切らしておりまして 2017/10/11(水) 20:10:55.79 ID:kZTB7Tah]

ここ年金基金だか郵貯の委託先じゃなかったか？

[0013 名刺は切らしておりまして 2017/10/11(水) 20:12:28.72 ID:1ohSGvUA]

>>4
でもストレージならDMZの内側の話だろうから問題にはならんかったろうね

[0014 名刺は切らしておりまして 2017/10/11(水) 20:15:10.41 ID:WbT/zrzL]

>>9
後はお前ら奴隷が適当にやっとけよ！じゃあな！

[0015 名刺は切らしておりまして 2017/10/11(水) 20:26:33.36 ID:40NX7Gxz]

プライベート領域と勘違いしてS3にデータ上げちゃう事故は良くある
プライベートサブネットからアクセス可能なのにアップしたらインターネットに公開とかもはや仕様に悪意がある
VPC専用のS3出さないAWSもAWSだと思うわ

[0016 名刺は切らしておりまして 2017/10/11(水) 20:37:27.11 ID:URwOejyi]

企業経営者、ならびに大企業にお勤めの皆さん。

あなたは例えば、２ちゃんねるの西村ひろゆきが作ったOSを搭載したパソコンで
会社の仕事ができますか？

「何も仕掛けてませんよ。安心して使ってください。ソースコードは見せられませんが」という。

もちろんできないでしょう。しかし、あなたがたが今まさに会社で使っているそのパソコンは
そういうシロモノと何も変わらないシロモノなのです。

あなたがたが秘密裏に会社の製品の情報を偽装したり、会計の不正を行ったりしている情報も
すべてどこかに筒抜けでデータベースに保存されてるのですよ。

あなたがたの会社のその不正を「どこでいつ世間にリークすれば倒産させられるか」、そして
何食わぬ顔で買収に名乗り出て乗っ取ることができるか、「彼ら」は常に見計らっているのです。

彼らの悪意から会社と自分の地位を守るには、不正を働かないことが第一なのです。

それができないなら、少なくとも今すぐ、Linuxのようなオープンソースで安全なOSのパソコンに
乗り換えるしか方法はないでしょうね。

【PC】Linuxシェア増加で5%に近づく - 9月OSシェア
https://egg.5ch.net/test/read.cgi/bizplus/1507451545/

【社会】犯人は韓国語を使う人物　日本のホテル宿泊客の端末から情報窃取被害相次ぐ　企業幹部や研究者が標的か
http://daily.2ch.net/test/read.cgi/newsplus/1415813925/
＞攻撃者は韓国語か朝鮮語を使う人物で、企業幹部らの宿泊予定を
＞あらかじめ把握しているもよう。
＞少なくとも４年前からスパイ活動を続けているという。

http://hayabusa3.2ch.net/test/read.cgi/news/1402618866/

【国際】内部告発サイト「ウィキリークス」　CIAによる秘密ハッキング計画に関する大量の文書を公開　スノーデン氏暴露より大規模か
http://daily.2ch.net/test/read.cgi/newsplus/1488905744/
【ウィキリークス】『CIA史上最大の暴露』　テレビの内蔵マイクで室内の会話を盗聴や車をハッキングしコントロールする技術を開発
http://daily.2ch.net/test/read.cgi/newsplus/1489022719/
CIAがPCやスマートフォンにハッキングしてアクセスしていたことを、ウィキリークスが暴露
http://hayabusa8.2ch.net/test/read.cgi/news/1489068066/l50
用心深いfacebook会長のマーク・ザッカーバーグ氏、ノートPCのカメラとマイク入力をテープで塞いでいた
https://japan.cnet.com/article/35084737/

[0017 名刺は切らしておりまして 2017/10/11(水) 20:48:34.07 ID:n8hwJzuY]

オラは某半島系セキュリティ
関連企業の公式・サポート
サイトがえらいことになってる
のに気付いて、
逆恨みされたらかなわんから、
IPA経由で対策してもろうたこと
あるよ。

対策でけたと2ヶ月くらい経って
報告きたけど、何で時間かかった
かさっぱりわからん。

そういえば、公式におわびの
一言も掲載されなかったな。

[0018 名刺は切らしておりまして 2017/10/11(水) 20:58:45.55 ID:+xfBFdjO]

Amazon S3は安全ではないサーバだぞ、よく覚えとけ

[0019 名刺は切らしておりまして 2017/10/11(水) 21:07:32.59 ID:VuP+V41A]

S3がサーバー？
KVSチックなストレージだと思っていたが・・・。

[0020 名刺は切らしておりまして 2017/10/11(水) 21:30:48.93 ID:tKYxa5DK]

ストレージサーバだろ

[0021 名刺は切らしておりまして 2017/10/11(水) 21:47:25.12 ID:VHVSNQDB]

わざわざ認証無しにしたバケットへ
秘密鍵やらKMSのマスターキーやら認証情報やら置くとか
逆にどうしたらそうなるのか不思議だわ。

普通に運用してたらS3は認証ありなのにな。

[0022 名刺は切らしておりまして 2017/10/11(水) 21:57:14.49 ID:r2rN1v3A]

２０年前に友人の勤め先がアクセンチュアを利用してひどいめにあった話を聞いた
たぶん多くの人が信じないだろうってぐらいふざけた話だった
いまだにのうのうと商売やってんのかよと思う

[0023 名刺は切らしておりまして 2017/10/11(水) 22:48:54.47 ID:2GkITp8v]

ユーザー「おたく、機密情報漏らしたりなんかしてないよね？」
賑やかにSNSで情報発信する独立系SIer出身者「も、も、もちろんです」

[0024 名刺は切らしておりまして 2017/10/12(木) 00:24:11.13 ID:5H4/ffbj]

実は、ITに弱いITコンサル会社？

40万で雇った派遣を200万で売りつける会社？

エンロンで社名を変えた会社？

知らんがな。

[0025 名刺は切らしておりまして 2017/10/12(木) 00:30:50.85 ID:eg1Vxq1z]

何処のクラウド使うでもファイルはすべて暗号化（公開鍵暗号）だろうが!
PKI無くしてクラウド利用は有りえんわw

[0026 名刺は切らしておりまして 2017/10/12(木) 01:17:32.66 ID:m6pQnh9L]

身を呈してクライアントに注意を促す作戦ですね。

[0027 名刺は切らしておりまして 2017/10/12(木) 01:20:57.16 ID:IaE34c0B]

>>2
これ

コン猿タンと()

[0028 名刺は切らしておりまして 2017/10/12(木) 01:43:12.78 ID:q9dBOw/A]

フセンに書いて貼っとくのが一番だ

[0029 名刺は切らしておりまして 2017/10/12(木) 02:15:13.74 ID:dBKQORu/]

アウトソーシング屋さんでしょ。
日本の官公庁にも入り込んでいるからね

[0030 名刺は切らしておりまして 2017/10/12(木) 02:51:51.30 ID:ZWzC5Dje]

クラウドサービスｗ

[0031 名刺は切らしておりまして 2017/10/12(木) 03:04:57.79 ID:o726XiLl]

アクセン苦闘の始まりであった　ﾁｬﾝﾁｬﾝ

[0032 名刺は切らしておりまして 2017/10/12(木) 03:21:27.49 ID:saGYB87q]

こんなゴミどもにｗｗｗ

[0033 名刺は切らしておりまして 2017/10/12(木) 04:08:59.85 ID:LI+5XGUQ]

>>2
コンサルを忌々しく思ってる人多いんやね
ワイもやけどなwwwww

[0034 名刺は切らしておりまして 2017/10/12(木) 06:40:04.85 ID:BrK2sJOr]

S3をストレージに使ってるWebサーバに侵入して、ストレージ内のファイルを覗き見される脆弱性がある。というのとKMSのマスター鍵を書いてあったファイルがその中に置いてあった、だろ？
ま、セキュリティの知識不足でAWSのシステムを構築するとこうなるという典型的な例だね。

[0035 名刺は切らしておりまして 2017/10/12(木) 07:47:53.74 ID:+gMOk0fC]

アクセンチュアは
プレゼンは凄いのだけれども
実運用は・・・・・・・・・・・・・

[0036 名刺は切らしておりまして 2017/10/12(木) 08:08:40.24 ID:I1a6i+ae]

あんだーせんこんさるてぃんぐw

[0037 名刺は切らしておりまして 2017/10/12(木) 08:29:01.98 ID:OUJ7oQiE]

平文のパスワードwwww

AWS使えば大丈夫とかお花畑過ぎる

[0038 名刺は切らしておりまして 2017/10/12(木) 15:30:26.52 ID:YmyYchex]

コンサルがやってるのが余計やべえ
下請けの開発屋とは意味が違うんだが
ドヤ顔で公演できないやん

[0039 名刺は切らしておりまして 2017/10/12(木) 15:41:43.51 ID:rM2k+FJa]

>>29
そう。2012年の特許庁新システム中止の原因になった。
開発費の99億2500万円を特許庁のトップと東芝と暴力団の末端企業が
ぐるになってガメたからな
あとで、このアクセンチュアと東芝ソリューションは
56億円は返したけど残りの53億円は戻ってこなかったｗ

もう、何やってもオワコンの犯罪天国日本ｗ

[0040 名刺は切らしておりまして 2017/10/12(木) 15:54:35.89 ID:bt+H2URX]

だってアクセンチュアだものwww

[0041 名刺は切らしておりまして 2017/10/12(木) 19:10:47.97 ID:Bv62bnF4]

>>33
コンサル、弁護士、マスコミ

日本の三大リッチな嫌われ者

[0042 名刺は切らしておりまして 2017/10/13(金) 00:10:51.20 ID:k1hgYpPn]

IT企業出身の中途組はバラツキがでかい。
T哀なんとか出身者とかネットで社内事情を暴露とか真正の馬鹿なのか

[0043 名刺は切らしておりまして 2017/10/13(金) 08:15:53.38 ID:MSqptwkx]

>>1
目に見える箱を鍵のかかる部屋にが安全だな

[0044 名刺は切らしておりまして 2017/10/13(金) 09:19:22.28 ID:3b6rFf+G]

クソコンサルがセキュリティケチってるのを見ると終わりだな。

[0045 名刺は切らしておりまして 2017/10/13(金) 09:25:51.65 ID:QmpXDuff]

こいつら経営コンサルタント顔してるけど、要はただのIT土方だよな

[0046 名刺は切らしておりまして 2017/10/13(金) 22:21:02.70 ID:pm9k86Ig]

セキュリティのコンサルしてる会社がこれだと
レベルが知れるね

[0047 名刺は切らしておりまして 2017/10/14(土) 06:05:49.49 ID:9ojROVlI]

>>3
やめなよ

[0048 名刺は切らしておりまして 2017/10/14(土) 14:35:59.48 ID:Azl+IARu]

アンダーセン時代から糞

[0049 名刺は切らしておりまして 2017/10/14(土) 17:53:37.84 ID:XhWN6GfT]

北朝鮮が韓国軍から作戦計画を盗んだのは韓国製ウィルス対策ソフトベンダをハッキングして、そこから軍内部にウィルス入れたんだってね。怖いねー。

[0050 名刺は切らしておりまして 2017/10/16(月) 02:13:22.52 ID:vgL2nLo5]

夢を吹き込む仕事

[0051 名刺は切らしておりまして 2017/10/16(月) 18:24:41.79 ID:xvagpeYY]

量産型のテンプレ提案書を顧客に押し売り

[0052 名刺は切らしておりまして 2017/10/18(水) 00:51:50.23 ID:3cXagT/G]

立派な提案書で売った後は
えー・・・みたいな。

[0053 名刺は切らしておりまして 2017/10/18(水) 08:10:35.68 ID:5eZ5lHgg]

「こうすれば良い」と言っただけです。

誰も「こうすれば成功する」とは言ってませんよ

[0054 名刺は切らしておりまして 2017/10/19(木) 14:17:37.29 ID:F47t47xJ]

☆ 私たち日本人の、日本国憲法を改正しましょう。総務省の、
『憲法改正国民投票法』、でググってみてください。
2017年10月22日（日）の衆議院選挙は、ぜひ投票に行きましょう。
平和は勝ち取るものです。お願い致します。☆☆