どうやら、多くの企業の「ビッグデータ」はだだ漏れているようです。スイス・チューリヒのセキュリティ企業BinaryEdge[1] の調査の結果[2]、大量のデータがそのままインターネットにさらされているようなのです。その総量はなんと1.1ペタバイト。
同社の調査は、Fortune 500企業からベンチャーまで幅広い企業のインターネットに晒されているホストをスキャンし、公開されているMongoDB, Memchached, Elastic Search, Redis Cache などからメタデータを引き抜いてくるというものでした。(同社は、データ自体は取得していないことを明言しています。)
それによると、
- 35,330件のRedis Cache、
- 39,134件のMongoDB、
- 118,574件のMemcached、
- 8,990件のElastic Search
が、認証・認可無くデータを全世界に晒していたようです[3]。また、古いバージョンのものもままあり、中にはサーバ乗っ取りを可能にするバージョンもあるとのこと。
この調査に対して、The Registerが更に取材をして記事[4]を書いています。それによると、メタデータの内容から、
- 「ユーザ名」「パスワード」「セッション・トークン」など;
- 医療機関のものには、「患者」「医師リスト」など;
- 銀行のものには、「coin」「money」など;
- ロボット製造業のものには、「設計図」「プロジェクト名」など;
の項目が晒されているとのことです。このブログの読者には、1. とか 2. とかが特に興味があるところでしょうか。パスワードが漏れているのは論外として、セッション・トークンも、セッション乗っ取りに使えそうです。また、「患者」などは医療データが晒されている可能性を示唆していますね。重大なプライバシー侵害の恐れがあります。
一方、経済的に一番深刻なのは4.かもしれません。「設計図」を晒すとは…。まぁ、オープンソースハードウェアなのかもしれませんが…。
なお、BinaryEdge社は、見つけた問題は当該企業に通知しているとのことです。同時に、継続的監視サービスも提案しているとのことです。
この調査結果が示唆しているのは、こうしたテクノロジーを使っている人たちが、セキュリティを確保することが重要であるということすら認識していなであろうということです。ちょうど、昭和40年代前半までの日本企業が、汚染水を垂れ流すことの重大なインパクトについて全く認識していなかったとおぼしきことと同じですね。教育では時間がかかりすぎますから、やはり何らかの規制なり課税なりが必要なのかもしれません。
[1] BinaryEdge https://binaryedge.io/
[2] Binary Edge:Data, Technologies and Security – Part 1 (2015-08-17), http://blog.binaryedge.io/2015/08/10/data-technologies-and-security-part-1/
[3] 上記の結果には、当該IPレンジをスキャンして欲しくないという企業は含まれていないそうなので、実際にはもっと多くのサーバがデータを晒していると思われるそう。
[4] Leyden, John:Misconfigured Big Data apps are leaking data like sieves, The Register (2015-08-13), http://www.theregister.co.uk/2015/08/13/big_data_apps_expose_data/
@_Nat Zoneをもっと見る
購読すると最新の投稿がメールで送信されます。