「クラウドでチェック」なセキュリティツール、データ漏洩を指摘される

「次世代セキュリティシステムのトップメーカー、テラバイト級の顧客データを漏洩していると批判を受ける」

www.bleepingcomputer.com

Carbon Black EDR (Endpoint Detection and Response)というセキュリティ製品は、ホワイトリストをもっており、それに該当しないファイルはいったんサーバにアップして調査する、という触れ込みです。

これに対して、DirectDefense社は、顧客データが漏洩していると指摘、批判しています(DirectDefenseは顧客企業から「うちのデータが漏洩しているみたいなんだが」と相談され調査した結果、この問題を見つけたそうです)。

サーバにアップした後、このサービスでは「マルチスキャナ」(VirusTotalのようなもの)にかけるのですが、その際にファイルのコピーが残ってしまうのです。このマルチスキャナサービスは、どうやら他の会社が提供しているらしく、そこはお金を払えばスキャンしたファイルを(他人のものであるにも関わらず)ダウンロードまでできてしまうそうです。

アップされたファイルは数十万件、容量にして数テラバイトとのこと。ファイル名は変更してあるそうですが、中身がそのまま出てしまっては、企業ユースの製品としては大問題です。

Carbon Black側は、CEOがこれに対して「マルチスキャナにアップするのはデフォルト動作ではなく、また警告も出している」と延べ、別の創業メンバーは「VirusTotalでのスキャンは多くの顧客から求められたものだ」と述べています。

顧客企業が、ファイルを誰しもがダウンロードできる形でアップされることを理解していたのかは分かりません。VirusTotalのようなものを別途セキュアな形で用意することが期待されていたのかもしれません(もっとも、これをやると利用されたセキュリティ製品のメーカーから「ただ乗りか」とどつかれそうですが)。