MongoDBは、古い版のデフォルト設定の関係もあり、しばしばデータ流出などの被害にあっていますが、AWSも設定が緩いところが多い、という話題が出ています。

「Amazon AWSサーバ、MongoDB同様に身代金狙いのターゲットになる可能性」

www.bleepingcomputer.com

AWSとクラックといえば、TeslaがKubernetes管理情報や、自社車両からの各種テレメトリデータなどをAWS上で一般に見える形で置いてしまい、クラッカーが暗号通貨採掘を行っていたことが判明したばかりです（ただし、Teslaはサーバ上のテレメトリデータなどはテスト車両のものだけと述べています）。

「Tesla内部で使っていたサーバ、暗号通貨採掘プログラムに感染」

www.bleepingcomputer.com

このTeslaの件以外でも、AWSのサーバは、しばしばアクセス権が緩く設定されていることがあり、クラッカーの攻撃に弱い可能性が指摘されています。それが冒頭の記事というわけです。

特に問題が大きいのは、誰にでも書き込み権限があるものです。2017年9月に発表された調査では、AWS S3サーバの7%が、この設定だったとか。この場合、既存の重要データを削除なり暗号化して、身代金を要求するサーバ側ランサムウェアか簡単に実行できてしまいます。

書き込み権限はない場合でも、誰にでも読み出し権限があれば、重要データを簡単に盗み出せてしまいます。実際、2017年にはNSA、米陸軍、信用調査会社や国勢調査などのデータ管理を請け負っていた企業などのデータが流出しました。ちなみに現在でも読み出せるデータには、医療や軍事、警察官のボディカメラの映像にビットコインのウォレットなど、普通なら公開しないだろうものが多数あるとのこと。

なお、攻撃に対する緩和要素として、AWSサーバはIPアドレスだけでは指定できない（クラウドなのでサーバのサブドメイン指定が必須）という点が挙げられます。また、Amazonは誰でも読み出しなどが可能な設定になっている利用者に、警告通知を出しているそうです。

一方、記事終盤では、5月25日から可能になる（かもしれない）新たな身代金攻撃が紹介されています。これは誰でも読み出し可能なデータを抜き出し、他のどこかのサーバにアップしておき、2018年5月25日から有効になるEUのGDPR（一般データ保護指令）への違反を申告されたくなければ身代金を……というもの。これなら書き込み権限は不要です。まさにソーシャルハックという感じですね。