有名オンラインディスクBOX.COMに脆弱性が露呈、ファイル共有が検索エンジンで検索可能に

最近、有名なオンラインデータ管理ウェブサイト BOX.COM のファイル共有メカニズムにセキュリティ上のリスクがあることが判明し、多くの企業の機密データやファイルが Google や Bing などの検索エンジンによって直接取得される事態が発生しました。この問題を発見した脅威情報研究者のマルクス・ナイス氏は、BOX.COM のクラウドストレージアカウントの処理方法に欠陥があり、簡単な検索エンジンのクエリで企業の機密ファイルや個人のファイルに誰でもアクセスできる状態になっていたと述べた。攻撃者はこの問題を悪用して、Dell Technologies を含む複数の大企業のデータを含む、クラウドコラボレーションに保存されているデータにアクセスする可能性があります。 BOX のエンタープライズネットワークディスクは海外でかなり有名であり、中国でも一定数のユーザーがいることがわかります。共通のファイル保存や同期機能の提供に加え、複数人でファイルやデータを共有できる「クラウドコラボレーション」機能も提供します。問題はまさにこの機能にあります。 Neis 氏の説明によると、BOX が提供する「クラウドコラボレーション」機能により、ユーザーは他のユーザーを招待して自分のアカウントでファイルディレクトリやデータを共有できるようになります。ファイルを共有すると、URL リンクが自動的に生成され、誰でもこのリンクを通じて共有ディレクトリにアクセスできるようになります。主な問題は、これらのリンクによって指し示されるページが検索エンジンに取り込まれ、取得される可能性があり、それがネットワーク攻撃者に悪用される可能性があることです。ネイス氏は、GoogleやBingなどの検索エンジンを通じて、数万社の企業から「クラウドコラボレーション」用のファイル共有リンクを取得しましたが、その中には「機密」や「プライバシー」などの言葉でマークされた機密性の高いビジネス情報も含まれていました。同氏は、攻撃者がこの欠陥を悪用して、「クラウドコラボレーション」に保存されている機密データにアクセスする可能性があると述べた。「クラウドコラボレーション」は、企業の従業員や個人ユーザーが共同作業に広く利用している機能だ。デフォルトでは、このリンクが生成されると、訪問者は表示、ダウンロード、アップロード、編集、名前変更を行うことができます。ネイス氏は次のように述べた。「攻撃者は検索エンジンを通じて企業の「クラウドコラボレーション」ページを見つけた後、そのコラボレーションプロジェクトにマルウェアをアップロードし、その中の電子メールアドレスに基づいて企業の従業員を参加に招待したり、自由に拡散したりしてフィッシングを実行することができます。」
記載されている攻撃手法によると、BOX.COMは、検索エンジンで検索できるこれらのページは、サードパーティのウェブサイトのアカウント所有者によって積極的に共有されており、漏洩したものではないと考えています。ただし、同社は次のようにも述べています。「これらのパブリックインデックスを削除するようGoogleに連絡しており、短期間で完全に削除される予定です。」さらに、すべての共有リンクを再編成し、それ以降の公開招待リンクが Google エンジンに表示されないようにしました。 BOX.COMは、セキュリティを維持しながら機能を最大限に活用できるように、共有リンクの許可モデルを継続的に評価すると述べた。同時に、検索エンジンに公開される共有リンクの数は実際にはそれほど多くないことも強調しました。海外メディアThreatpostは、検索エンジンを通じてファイル名に「confidential」や「private」という言葉が含まれるファイルをいくつか取得し、その中にはデル・テクノロジーズのチャネルパートナーに関する関連データが含まれていたことを明らかにした。デルは声明の中で、限られた量の情報が短期間「意図しない関係者」に閲覧可能だったが、その後問題は解決したと述べている。ディスカバリー・コミュニケーションズも大量の関連文書やビデオプロジェクトファイルを保有していたことがわかったと報じられているが、現在すべてのリンクにアクセスできず、同社はこれについてコメントしていない。

今日頭条の青雲計画と百家曼の百+計画の受賞者、2019年百度デジタル著者オブザイヤー、百家曼テクノロジー分野最人気著者、2019年捜狗テクノロジー文化著者、2021年百家曼季刊影響力のあるクリエイターとして、2013年捜狐最優秀業界メディア人、2015年中国ニューメディア起業家コンテスト北京3位、2015年光芒体験賞、2015年中国ニューメディア起業家コンテスト決勝3位、2018年百度ダイナミック年間有力セレブなど、多数の賞を受賞しています。

<<: テレビを2700円で買ったのですが、画面を交換するのに4600円もかかります。家電修理の暗殺者、メーカーは責任逃れできない