AmazonS3とは?セキュリティが静寂でクレジットカード情報を盗難される危険性とは?

Amazonは知ってますけど、AmazonS3っていうのは全然知らないですね・・

一体何でしょうか?

セキュリティが脆弱でクレジットカード情報が盗難される危険性があるって怖いですよね。

色々と説明していきましょう。

AmazonS3とは?


AmazonS3って何?

そこからまずは説明しましょう。

S3とはAWSの中のサービスの1つになります。

AWSって何ってなりますけどねwww

AWSというのはAmazon Web Serviceのことですね。

その中にあるのはAmazonS3ですがS3というのはSimple Storage Serviceを略してS3と言うことです

クラウド型のオブジェクトストレージサービスですが、ざっくりいうと容量が無制限なFTPサーバーの様なイメージですね。

AmazonS3の最もメジャーな使い方は、ファイルをS3に保存するストレージ機能を使うことです。

ファイルのバックアップであったり、ファイルの処理の加工前、もしくは加工後のファイルを保存する、画像ファイルやCSSなどWebで使う静的なファイルをS3に置いて配信するなど、使い方は無限大です。

2017年頃からS3の権限設定のミスを問題視されてる?

S3はAWSの数あるサービスの中でも、最も活用されているサービスの1つですが、広く普及しているがために、開発者のミスや、それを狙う攻撃者の対象にもなりやすいという事にもなります。

2017年時点では、誤った権限設定によって、本来外部に公開してはならない機密情報が公開されてしまっているという「情報漏洩」が主なインシデントでした。

不要な書き込み権限を持つS3バケットにスキミングプログラムを埋め込み!!

主にクレジットカード情報を盗む犯罪集団「Magecart」が第三者でも書き込み可能な権限与えられているS3バケットに対して、クレジットカード情報を盗み出す「スキミング」を実行するプログラムを埋め込む、攻撃キャンペーンを実施している事がRiskIQの調査によって明らかになりました。

この攻撃キャンペーンでスキミングプログラムを埋め込まれたドメインは現在確認されているだけでも1万7000件を超えていると言うことで、恐ろしいですよね・・・

S3の権限設定ミスは何故なくならないのか?

S3の権限設定ミスは2017年前後から、発覚することが増え始め、AWS自身も開発者への注意喚起やS3の権限設定ミスを防止するためのAmazon S3 Block Public Access機能をリリースするなどの努力の結果、S3の権限設定ミスは減少傾向にありますが、それでも完全になくなった訳ではありません。

では、どうしてS3の権限設定ミスはなくならないんでしょうか?

その原因の一部を記載しておきましょう。

・AWSのサービスリリースの速度にエンジニアが追随できていない

AWSは一年間に千を越えるサービス提供や、機能のアップデートを行います。

これがAWSの競争力の源泉となっていますが、その速度にエンジニアが追随出来ていないというのが実態でしょう。

初めて使用する機能を完全に理解して実装することは現実的ではなく、手探りの状態で、技術ブログなどの情報を元に、前提条件など考慮されないまま、設定を施す事になります。

その結果、参照した技術ブログやドキュメント通りに、何も考えずに設定した結果、セキュリティ的に脆弱な設定のまま、リリースされてしまっているAWSのシステムに遭遇することは少なくありません。

・一般的な脆弱性診断ではAWS固有の設定ミス等はスコープにはいっていない。

AWSを利用してwebサイト等を構築する場合、webアプリケーション脆弱性診断を行うのが一般的です。

しかし、このような一般的なwebアプリケーション脆弱性診断は、AWS環境に特化した脆弱性診断を実施するのではなく、凡庸的な環境を想定した脆弱性診断を行う事になるため、

「S3の権限設定ミス等はないか?」

などといったAWS環境固有の問題等スコープ外となってしまっています。

それに気付かずにwebアプリケーション脆弱性診断にパスしたから、問題なしと捉えてサービス公開をされてしまっているケースは多々あります。

東京オリンピックに備えて、日本企業も注意が必要!!

東京オリンピック開催が1年後に迫り、東京オリンピック用のキャンペーンサイトなどで、AWSなどのクラウドサービスを利用してキャンペーンサイトを突貫工事で作るといったシチュエーションも今後急増するでしょう。

そのせいで「開発期間が短かったから」「一年だけのものだから」と行った理由であまりセキュリティを考慮せずにリリースされたAWS利用サイトを目にする機会があります。

東京オリンピックの様な世界中から注目を集めやすいイベントは、サイバー攻撃者からも狙われやすいって事ですね。

RiskIQの調査結果から、脆弱な設定のAWSは攻撃に利用されるという事実が判明しました。

セキュリティ担当者だけでなく、開発者もAWSを安全な状態で利用するにはどうしたらいいのか?

そういうことを頭に入れて開発を進めることが重要ですね。

まとめ

クレジットカードを使う方ではなく、そのサイトを作る方にも色々と苦労があるという話です。

どこにでもサイバー攻撃が仕掛けられると思っていた方がいいんでしょうね。

自分が悪くなくても、そういったものに引っかかる可能性があるという事です。

やはりニコニコ現金払いが一番安全なのかも?

と、時代に逆行したくなりましたけどねwww

では!!

クレジットカードの怖さはこちらも↓

クレジットカード不正利用の犯人は逮捕出来ない?被害届も出せない現実とは?

使わないクレジットカードの保管方法は?怖いデメリットや不都合とは?

コメントを残す

メールアドレスが公開されることはありません。