公開Boxリンクを通じてAppleの秘密データが流出

Appleは、クラウドストレージサービスであるBoxを通じて機密データを不注意に漏洩した数多くの大企業のうちの1つである。

セキュリティ研究者らは、従業員がファイルや文書への公開リンクを共有することで、簡単に発見できるデータを漏洩させていたことを発見した。Box自身を含む90社以上が影響を受けていると考えられている。

Appleはシリコンバレーで最も秘密主義的な企業の一つです。機密性の高い情報が外部に漏れるのを防ぐためにあらゆる手段を講じており、機密データを漏洩した従業員には厳しい処罰を科しています。

しかし、一部のApple社員がBoxを通じて機密データを共有し、うっかり公開していたことが判明した。

サイバーセキュリティ調査会社Adversisは、大手企業がBoxのリンクを共有することで自社のデータを漏洩させていると警告した。リンクは秘密であるはずなのに、Adversisによると、誰でも簡単に見つけられるとのことだ。

「Adversisはスクリプトを使用してBoxアカウントをスキャンし、会社名のリストとワイルドカード検索で列挙し、公開アクセス可能なフォルダーを持つ90社以上の企業を発見した」とTechCrunchは報じている。

Adversis が発見したデータには、パスポートの写真、社会保障番号や銀行口座番号、注目度の高い技術のプロトタイプや設計ファイル、財務データ、顧客リスト、VPN 構成などが含まれています。

アドバースィスは、今回の発見について各企業に個別に連絡を取る予定だった。「しかし、この規模ではそれは不可能だとすぐに気づきました」とアドバースィスは説明する。「極めて機密性の高い」データを漏洩した一部の企業には警告を発した。

Boxのエンタープライズアカウントは、企業が使用するアカウントと同様に、デフォルトで非公開になっています。しかし、従業員はファイルやドキュメントへのリンクを共有することで公開することができ、そのリンクが他の人に見られる可能性があることに気づいていません。

これらのパブリックフォルダは、場合によっては検索エンジンにインデックス登録されるため、簡単に見つけられるようになっています。Boxアカウントに保存された機密文書がGoogleに表示されたことで、Boxはすでに最近話題になっています。

「会社で Box を使用している場合、すでに機密データが漏洩している可能性が高いため、パブリックファイル共有を無効にしてからこの記事を読み終えたほうがよいかもしれません」と Adversis は警告しています。

ただし、これはBoxのせいではないことに注意が必要です。Boxはデフォルトでエンタープライズアカウントを保護しており、データ漏洩のリスクを最小限に抑える方法をユーザーにアドバイスしています。ファイルを共有する際は、ユーザー自身が慎重に行う必要があります。

たとえユーザーがリスクを認識していたとしても、漏洩を防ぐことは困難です。Boxの従業員自身も、顧客との秘密保持契約書や従業員の業績報告書など、多数の社内ファイルを漏洩させました。

ログや地域別価格表など、Appleのデータの一部は流出した。製品のプロトタイプ設計や発売計画といった、より機密性の高い情報はBoxフォルダには見つからなかった。

Adversisは昨年9月にBoxに対し調査結果を初めて報告し、Boxは数日後に全顧客向けに公共広告を発表しました。Appleをはじめとする多くの企業は既にこの問題に対処しています。

Oligur