オランダのサイバーセキュリティ企業によると、同社の主任研究者が最近、EYのものである4TB超のSQL Serverバックアップファイルがウェブ上に公開されているのを偶然発見し、会計・コンサルティング大手企業の秘密が事実上漏洩していたという。
Neo Securityのレポートによれば、BAKファイルのデータにはAPIキー、キャッシュされた認証トークン、セッショントークン、サービスアカウントのパスワード、ユーザー認証情報などが含まれていた。
「4TBのSQLバックアップがインターネット上に公開されているのを見つけるのは、金庫の設計図と物理的な鍵がそのまま置かれているのを見つけるようなものだ」と述べている。「しかも『ご自由にどうぞ』というメモ付きで。」
「[主任研究者は]これより少ない情報から始まった侵害を調査したことがある。はるかに少ない情報からだ。彼はかつて、接続文字列が漏洩したweb.configファイル1つからランサムウェア事件全体を追跡したことがある。それは8キロバイトだった。今回は4テラバイトだ。」
同研究者は、同社の報告書では名前が明かされていないが、ファイルの最初の1000バイトをダウンロードし、BAKファイルが暗号化されていないことも発見した。
この漏洩は、典型的なクラウドバケットの設定ミスによって発生した。Neo Securityは、このケースが数年前に調査したランサムウェア事件で見た類似の侵害を思い起こさせると述べている。
その時は、同社のエンジニアの一人がデータベース移行中に手を抜いたことが原因だった。余計な手間を避けるため、バケットを5分間だけ公開状態にし、移行用のSQLデータベースバックアップ全体をダウンロードし、その後非公開に戻しただけだった。
しかし、それだけの時間でも攻撃者の自動スキャンが漏洩を検知するには十分だった。攻撃者はファイルを自分たちでダウンロードし、企業秘密や認証情報も入手した。Neo Securityによれば、その会社は漏洩通知を出した後、倒産したという。
セキュリティ企業はこう述べている。「現代のクラウドプラットフォームでは、データベースのエクスポートやバックアップが非常に簡単にできてしまう。数回クリックして、データベースを選び、宛先バケットを選択すれば完了だ。エクスポートはバックグラウンドで自動的に行われる。」
「しかし、ここが危険なポイントだ。1回の誤クリック、バケット名のタイプミスひとつで、あなたのプライベートデータがパブリックバケットに置かれてしまう…それだけで機密データのテラバイト単位の漏洩が簡単に起こってしまう。」
「ツールは利便性のために設計されており、セキュリティのためではない。利用者が何をしているか分かっている前提だ。インターネット上の誰でも読めるバケットに顧客データベース全体をエクスポートしたことを警告してくれない。」
EYのデータベースがどれくらいの期間公開されていたかは不明だが、通常このようなケースでは、漏洩が発覚した時点で既にファイルが侵害されていたと考えるのが賢明だ。
研究者が発見を確認した時には週末になっており、LinkedInで必死にコールドメッセージを送って、同社のインシデント対応担当者に連絡を取る必要があった。セキュリティ企業はEYの対応をプロフェッショナルかつ効果的だったと評価し、1週間後にはインシデントが解決された。
The RegisterはEYに追加情報を求めている。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/29/ey_exposes_4tb_sql_database/
