Amber Groupは、ジャマイカ政府のJamCOVIDアプリ及びウェブサイトの秘密鍵とパスワードが漏洩した2つ目のセキュリティ過失を修正した。
米国時間2月21日にセキュリティ研究者がTechCrunchに語ったところによると、Amber GroupはJamCOVIDのウェブサイトに誤ってファイルを残してしまい、そのファイルにはJamCOVIDのサイトとアプリを実行しているバックエンドシステム、ストレージ、データベースへのアクセスを許可するパスワードが含まれていたという。同研究者は、ジャマイカ政府からの法的な影響を恐れて、匿名を要求した。
このファイルは、環境変数(.env)ファイルとして知られており、クラウドアプリケーションの動作に必要なサードパーティサービスの秘密鍵やパスワードを格納するためによく使用される。しかし、これらのファイルはうっかり公開されたり、誤ってアップロードされることもあり、悪意のあるハッカーによって発見された場合、クラウドアプリケーションが依存しているデータやサービスへのアクセスを得るために悪用される可能性がある。
露出された環境変数ファイルは、JamCOVIDのウェブサイト上のオープンディレクトリで発見された。JamCOVIDのドメインは同国保健省のウェブサイトにあるように見えるが、JamCOVIDのダッシュボード、アプリ、そしてウェブサイトは請負会社であるAmber Groupが管理・運営している。
露出されたファイルには、JamCOVIDのAmazon Web Services(AWS)データベースとストレージサーバーの秘密認証情報が含まれていた。このファイルには、JamCOVIDがテキストメッセージを送信するために使用しているSMSゲートウェイのユーザー名とパスワード、メール送信サーバーの認証情報も含まれていた。(漏洩したパスワードやキーを試したり使用することは違法であるため、TechCrunchはテストしていない。)
TechCrunchがAmber Groupの最高経営責任者Dushyant Savadia(ドゥシャント・サヴァディア)氏に連絡を取り、セキュリティ事故を知らせたところ、同氏はしばらくして露出ファイルをオフラインにした。またTechCrunchは、コメントは差し控えた同氏に対し、秘密鍵の取り消しと交換を求めた。
ジャマイカ政府はAmber Groupとの契約や関係を継続する予定なのか、JamCOVIDアプリとウェブサイトのセキュリティ要件はAmber Groupとジャマイカ政府の双方で合意されていたのかなど、コメントを求めたが、ジャマイカ国家安全保障省のMatthew Samuda(マシュー・サムダ)無任所大臣は取材や質問に応じなかった。
今回の漏洩の詳細は、カリブ海に拠点を置くサイバーセキュリティ会社Escala 24×7が、最初のセキュリティ過失の後、JamCOVIDのサービスに脆弱性は発見されなかったと主張した数日後に明らかになった。
EscalaのCEOであるAlejandro Planas(アレハンドロ・プラナス)氏は、先週のコメントに先立ち、同社が2つ目のセキュリティ過失を認識していたかどうかについての発言を辞退し、同社は機密保持契約を結んでおり、「追加情報を提供することはできない」とだけ述べた。
この最新のセキュリティ事故は、Amber Groupが過去1年間にジャマイカを訪れた何百万人もの旅行者の入国記録と、新型コロナウィルスの陰性テスト結果をホストするパスワードなしのクラウドサーバーに安全対策を施してから1週間も経たないうちに発生した。島を訪れる旅行者は、渡航許可を得るためにはフライト前に新型コロナウィルス(COVID-19)のテスト結果をアップロードする必要がある。サーバー上で情報が流出した被害者の多くは米国人だ。
先日のあるニュース報道では、Amber Groupのサヴァディア氏が同社はJamCOVID19アプリを「3日以下で」開発した、と語っていたと報じられた。
Amber Groupもジャマイカ政府もTechCrunchに対してはコメントしていないが、サムダ無任所大臣は地元ラジオで、セキュリティ上の過失について犯罪捜査を開始したと語っている。
関連記事:シスコ・NEC・アラクサラが重要インフラ向け機器サプライチェーンの真正性確認にブロックチェーン活用
カテゴリー:セキュリティ
タグ:ハッカー データ漏洩
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)