セキュリティを研究するUpGuard Cyber Riskは、先の金曜日に、GM、フィアット・クライスラー、フォード、テスラ、トヨタ、ティッセンクルップ、そしてフォルクスワーゲンを含む100社以上の製造会社の重要ドキュメントが、Level One Roboticsが所有するサーバー上で誰でもアクセス可能な状態になっていたと発表した。
UpGuard Cyber Riskによれば、工業オートメーションサービスを提供するLevel One Roboticsのサーバーが、大量のデータセットのバックアップを行う際に使われるファイルプロトコルであるrsyncを通して、誰でもアクセス可能な状態になったいたのだ。このデータ漏洩を最初に報じたのはNew York Timesだった。
セキュリティ研究者によれば、このrsyncサーバーにはアクセス制限が掛けられていなかった。すなわち、どんなrsyncクライアントでも、rsyncポートに接続すればデータをダウンロードできたということだ。UpGuard Cyber Riskは、どのようにその情報漏洩状態を発見したのかをここで報告している。これを読めば、一見セキュリティがしっかり守られているように見える大企業のサプライチェーンの中の1企業が、全体にどのように影響をもたらすかがわかる。
このことが意味することは、もしどこを見れば良いかを知っていれば、自動車メーカーによって守られている企業秘密にアクセスできるということだ。今回悪意のある第三者が、実際にデータを手にしたのか否かは不明だ。影響を受けた自動車メーカーの少なくとも1つの情報源がTechCrunchに語ったところによれば、機密もしくは独占的なデータが公開されていたようには見えないということだ。
UpGuardによる教訓は次のようなものだ:rsyncのアクセスはIPアドレスによって制限されるべきである。研究者たちはまた、クライアントがデータを受信するためには認証を行わなければならないように、rsyncのユーザー設定を行うことを推奨する。こうした措置を行っていなければ、rsyncは誰からでもアクセスできる、と研究者は指摘する。
この事案は、157ギガバイトのデータをアクセス可能な状態にしていた。組立ラインの設計図、工場フロアプランとレイアウト、ロボットの配置やドキュメント、IDバッチ申請フォーム、そしてVPNアクセス申請フォームといった、10年分におよぶ情報の宝の山だったのだ。公開されていたデータの中には、テスラのものも含む重要な機密保持契約(NDA)も含まれていた。
他にもLevel Oneの一部の従業員の個人情報の詳細、例えば運転免許証やパスポートのスキャンイメージや、Level Oneのビジネスデータ、例えば請求書、契約書、銀行口座の詳細などがアクセス可能な状態になっていた。
セキュリティチームがこの問題を発見したのは米国時間7月1日である。彼らは7月9日にはLevel Oneへ接触を行い、翌日には問題に対する措置が行われ公開は停止した。
[原文へ]
(翻訳:sako)