はじめに

世界四大会計事務所の一つであるアーンスト・アンド・ヤング（EY）に属する4テラバイトものSQL Serverバックアップが、Microsoft Azure上で一般公開されている状態で見つかるという重大なセキュリティ脆弱性が発覚しました。この露出は、セキュリティ研究者による定期的なインターネットマッピング作業中に特定され、責任ある開示プロトコルに従って、その後修正されました。

発見と初期対応

受動的なデータ収集を行っていたセキュリティ研究者たちは、標準的な偵察技術を通じてこの大規模なバックアップファイルを発見しました。AzureストレージバケットへのHEADリクエストにより、4テラバイトという異常に大きなオブジェクトのメタデータが返され、直ちに調査の対象となりました。ファイル命名規則がSQL Serverバックアップ（.BAK）ファイル形式と一致していたことから、スキーマ、ストアドプロシージャ、そしてAPIキー、セッショントークン、ユーザー認証情報、認証トークンなどの機密データを含む完全なデータベースエクスポートであることが示唆されました。

研究者たちは、データセット全体をダウンロードすることなくファイルの信頼性を確認するため、ファイルのヘッダーシグネチャ、すなわちファイルタイプを識別する特徴的な「マジックバイト」を調査しました。これらのバイトは、暗号化されていないSQL Serverバックアップであることを確認し、露出の深刻さに関する疑念を払拭しました。この発見は、クラウドに露出したバックアップについてサイバーセキュリティ専門家が知っている事実を考慮すると、特に懸念されるものでした。

長年のインシデント対応の経験から、攻撃者がインターネット全体に分散スキャンインフラを展開し、数分でIPアドレス範囲全体をスキャンして、設定ミスのあるクラウドバケットや露出したデータベースを具体的に探すという憂慮すべきパターンが確立されています。露出からデータ流出までの時間は、しばしば数時間ではなく数秒で測定されます。過去の類似事例では、あるフィンテック企業でデータベースバックアップが誤って約5分間公開状態になったことがありました。この短い露出期間にもかかわらず、攻撃者は個人識別情報や認証情報を含むデータセット全体をすでに流出させていました。この期間中、同社のホームページへのトラフィックは400パーセント急増し、数千の自動ボットが露出したファイルにアクセスしたことを示唆しています。

所有者の特定とEYの対応

所有権の追跡には、DNSレコード、事業登録書類、ドメイン権限のルックアップにわたる探偵作業が必要でした。最終的にSOA（Start of Authority）レコードのクエリにより、権威あるDNSサーバーがey.comを指していることが明らかになり、EYの親組織による所有が確認されました。研究者たちは直ちに技術調査を中止し、正式な脆弱性開示プログラムが容易に入手できなかったため、LinkedInなどのチャネルを通じてセキュリティチームへの連絡を試みました。

EYのインシデント対応は模範的でした。セキュリティリーダーシップは、防御的になることなく報告を認め、迅速なトリアージを開始し、1週間以内に完全な修正を完了しました。同社は、機密性の高い金融データを扱う組織のインシデント対応に求められるプロフェッショナリズムと技術的能力を示しました。

現代のクラウドインフラにおける教訓

このインシデントは、現代のクラウドインフラにおける重大な脆弱性を浮き彫りにしています。大規模なデジタル資産を管理する組織は、自身の露出表面をリアルタイムで把握できていないことがしばしばあります。十分なリソースを持つ専門のセキュリティチームを持つ企業でさえ、単純なミス、例えば誤ったバケット名、見落とされたACL設定、自動エクスポート中のデフォルトの公開権限などによって、誤ってアクセス制御を設定してしまう可能性があります。

元記事: https://gbhackers.com/massive-4tb-ey-database-accessible-on-azure/