クラウドサービス利用のリスク ~設定不備で数百万円の課金が発生することも~ / How I Got Pwned by My Cloud Costs

Have I Been Pwned(HIBP)はクラウドファーストのサービスとして構築され、Azure Table Storageのような最新のクラウドパラダイムを活用して、以前は達成できなかったようなレベルのパフォーマンスでコストを大幅に削減することができました。これは小さなお金で大きな成功の実現ですが、今日はその正反対、クラウド・コストに負けた話について書きます。

それは、2021年12月のAzureの請求書が、通常よりはるかに高額だったことから始まりました。問題を発見するのに少し時間がかかりました。

 


その請求書は2022年1月10日に届きましたが、武漢ウイルスの影響で、請求書を見るまでにさらに10日ほどかかってしまいました。

私が最初に見るのはAzureのコスト分析で、上記のような項目を使用しているすべての個別サービスに分解しています。HIBPは、ウェブサイト、関係データベース、サーバーレス「Functions」、ストレージなど、多くの異なるコンポーネントで構成されています。すぐに、あるサービスがトップに浮き上がりました。


最初の項目が、すべてのサービスにおける帯域幅コストの98%を占めています。すべての HIBP サービスだけでなく、Hack Yourself First から Why No HTTPS まで、Azure で実行しているすべてのサービスです。ここで話しているのは、Microsoft の Azure インフラストラクチャから送信されるデータの帯域幅(GB あたり 0.1205 豪ドル)であり、通常は Web サイトへのトラフィックなどです。しかし、これはストレージアカウントです。まず、使用量が急増し始めた時期から見てみましょう。

2021年12月20日。NCAから提供された何億もの新しいパスワードとともに、FBIのためのPwned Passwordsインジェスト・パイプラインが開始されたのです。オープンソースのコードベースが初めて製品としてリリースされたのでしょうか。それとも他に何か?私は、帯域幅の使用状況をより細かく調べることから始め、さらに深く掘り下げていく必要がありました。

一貫して、それぞれのスパイクは17.3GBでした。完全に直線的な分布ではありませんが、かなり規則的なスパイクです。Pwned Passwordsのダウンロード可能なハッシュです。しかし、これらは常にCloudflareのエッジノードにキャッシュされます。そのため、私は無料でサービスを提供することができ、オリジンサービスからの帯域幅を無視できるように、そこの人々と多くの仕事をしました。実際、それが問題だったのでしょうか?ストレージアカウントで診断を有効にして、個々のリクエストのレベルまで、もう一度深く掘り下げてみましょう。

さて、そこで問題です。これらのリクエストは定期的にログに現れ、17.3GB分のコストが発生していたのです。このIPアドレスはCloudflareのもので、トラフィックは間違いなく彼らのインフラを経由しており、したがってキャッシュされるはずでした。Cloudflareのダッシュボードが何を言っているのか見てみましょう。

Cloudflareがキャッシュすべきものをキャッシュしていないという症状は明らかでしたが、根本的な原因は明らかではありませんでした。私はすべての設定、例えば「downloads」サブドメインのキャッシュポリシーを定義するページルールを調べ直しました。

そして、その結果、両方のSHA-1アーカイブが15GBを超えていました。根本的な原因がはっきりしたので、Cloudflareのルールを微調整してみました。

HIBPのウェブサイトから直接ダウンロードできるリンクを削除し、シードがたくさんあるtorrentだけを残したので、データを入手するのはまだ簡単でした。その後、Cloudflareが15GBの上限を上げたので、torrentをダウンロードできる環境にない人たちのためにリンクを復活させました。危機は去りました。

それで、被害総額はどうなったのでしょうか?

その期間の通常の使用量に加え、11,000AUD以上の費用がかかっています。痛っ! 他の地域の人たちからすると、約8,000USD、約6,000GBP、約7,000EUR、約840,000JPYに相当します。これは、1日あたり約350豪ドルが、1カ月間かかったことになる。本当に痛かったし、起こってはならないことだった。もっと早く気づいて、このようなことが起こらないような安全策をとっておくべきだったのです。

まず、Azureの帯域幅が高価であることは常に認識し、特に最も多くのデータを扱うストレージアカウントについて、もっとよく監視するべきです。この記事の最初のグラフを見ると、トラフィックが異常になる前では、帯域幅は1日に50GBを超えることはありませんでした。この閾値を超えたときに、ストレージアカウントにアラートを設定しましょう。

出典:How I Got Pwned by My Cloud Costs


【クラウド設定で恐ろしい課金額が発生した他の記事】

AWS Lambdaで300万円以上課金されてしまった怖い話

市立函館高校で模試成績など流出・SNS掲載 部内者の仕業か


函館市の市立函館高校で、生徒3人の模擬試験の成績や偏差値などの個人情報が流出してSNSに投稿され、90人ほどが閲覧していたことがわかりました。

市立函館高校によりますと、今月18日、生徒3人の模擬試験の成績や偏差値などの個人情報がSNSの「インスタグラム」に一時掲載され、50分ほどで削除されましたが、その間に90人ほどが閲覧していたということです。
この高校では、生徒の成績などは教員がインターネット上で学習支援ソフトを使って管理していましたが、高校によりますと、何者かが教員のIDとパスワードを使って成績などの情報を入手して3人とは別の生徒1人に流出させ、この生徒が「インスタグラム」に掲載していたということです。
この高校では、生徒用のタブレット端末を使ってIDとパスワードを入力していたケースもあり、その端末では、成績などの情報が誰でも閲覧できる状態になっていたということです。
高校では、外部からのサイバー攻撃などの形跡はなく、高校の内部で、何者かがこのタブレット端末を使って情報を入手した可能性が高いとしています。
市立函館高校は「生徒が授業で使うタブレット端末を業務で使用していたほか、端末の使用記録が正確に残されていないなど、学校の管理が不十分だった。生徒や保護者におわびしたい」としています。

警部補が同僚らに“なりすまし” 不正アクセス100回


警視庁の37歳の男性警部補が他の職員の指紋登録情報に自身の指紋を登録し、約100回にわたって不正アクセスを繰り返していたとして処分されました。警部補は2022年7月22日付けで依願退職しました。

警視庁によりますと、大崎警察署の警務課に所属する37歳の男性警部補は、おととし3月から今年4月にかけて、警視庁のネットワークへのログインに必要な指紋情報について他の同僚らの指紋情報に自らの指紋情報を登録し、不正にアクセスをしていたとして今月22日、戒告の懲戒処分を受けました。

男性警部補は同僚ら男女6人分の指紋情報に自らの指紋情報を登録していて、約100回にわたって不正アクセスをしていました。

指紋情報には複数の指の登録を行うことが可能となっていますが、男性警部補はこのシステムを悪用し、同僚らになりすまして昇任試験の合格発表日の確認や個人情報を閲覧などを繰り返していたということです。

なりすまされた職員が不在の際にファイルが使用中になっていたことから不正が発覚しました。

この男性警部補は不正アクセス禁止法違反などの疑いで22日に書類送検され、依願退職しました。

栃木県 森林簿に係る個人情報の掲載について 2022年7月21日


1 事故内容

県ホームページ(オープンデータ・ベリーとちぎ)に掲載されている「森林簿データ(渡良瀬川森林計画区(足利市)、那珂川森林計画区(那須烏山市))」の一部に、個人情報(森林所有者氏名及び住所)が含まれ、不特定多数の者が閲覧可能な状態となっていた。

掲載していた個人情報 1,786人分(内訳 足利市 315人、那須烏山市 1,471人)

2 経緯

令和3年12月6日(月曜日)、森林簿データの一部に森林所有者氏名及び住所が含まれていることに気づかず掲載。

令和4年7月20日(水曜日)、職員が個人情報が掲載されていることを確認。同日、上記情報の掲載を停止。

3 二次被害

現時点(7月21日14時)で確認されていない。

4 原因

個人情報を担当者が削除した上で掲載することとしていたが、一部に削除漏れがあったことによる。

5 森林所有者への対応

対象となる森林所有者には文書でお詫びする。

6 再発防止策

改めて情報の取扱いについて十分注意するとともに、ホームページへの掲載の際には、職員2人以上で確認を行うなど、チェック体制を強化する。


マリオット・ホテルで2022年2回目のデータ流出事故が発生 / Marriott Hotels Suffers Second Data Breach in 2022

マリオット・インターナショナルは、2022年7月6日(水)、今年2件目の情報漏えいがあったことを確認しました。

報告によると、攻撃者はクレジットカード情報、機密文書、顧客支払情報などの機密情報を含む合計20GB相当のデータを盗み出したという。

マリオットは、このデータ侵害について、対象となる300人から400人に通知する準備を進めています。

マリオットホテルの情報漏えいは今に始まったことではありません。2020年初め、マリオットホテルは520万人の宿泊客の個人情報を流出させる事件を起こしています。

それよりもはるかに深刻だったのは、2018年に発覚した、2016年にマリオットが買収したホテルグループであるスターウッドホテルグループ5億人分の宿泊客に影響を与えた事件です。

マリオットは、個人情報の適切な保護を怠ったとして、英国の裁判所から約2,000万ポンドの罰金を課されました。

最初に情報漏洩を報告したDatabreaches.netは、直近の情報漏洩を起こしたハッカーと話をしたと主張しています。

DatabreachesがGroup with No Nameまたは、GNNと呼ぶこのグループは、「彼らのセキュリティレベルは非常に低く、データの持ち出しに問題はなかった」と述べています。「少なくともデータベース全体にはアクセスできなかったが、奪った部分にも重要なデータは満載だった」と述べています。

マリオットの前四半期の売上高は41億9000万ドルでしたが、同社は一貫して顧客の情報セキュリティに対する配慮を欠いた態度を示してきました。残念ながら、このような態度は企業においてあまりにも頻繁に見受けられます。

大企業は、従業員が高度なフィッシング攻撃を検知し、より安全な行動を取るよう促す必要があります。

出典:Marriott Hotels Suffers Second Data Breach in 2022

神奈川県 委託事業者(一般社団法人ソーシャルコーディネートかながわ)によるメールアドレスの流出について 2022年07月19日


県が事業者に委託して実施する事業で、受託事業者が受講予定者に電子メールを送信した際、受信した方が他の受信者のメールアドレスを見ることができる状態になっており、メールアドレスが流出したことが判明しました。

1 概要

(1)発生の状況

 令和4年7月19日(火曜日)14時59分に、「かながわコミュニティカレッジ講座」の運営を受託している一般社団法人ソーシャルコーディネートかながわが、災害ボランティア入門講座の受講予定者のうち、電子メールでの連絡を希望した31名に対し、開催概要を確認する旨の電子メールを送信した際、送信相手のメールアドレスをBCC欄に入力すべきところ、誤って宛先欄に入力しました。
 このため、受信した方が他の受講予定者のメールアドレスを見ることができる状態となり、個人情報(メールアドレス)が流出しました。

(2)判明した経緯

 令和4年7月19日(火曜日)15時25分頃に、メール受信者1名の方から受託事業者あてに電話があり、個人情報(メールアドレス)の流出が判明しました。
 県は、受託事業者より16時5分に報告を受けました。

2 流出した個人情報

31名分の個人メールアドレス

3 原因

メール送信の際に、宛先について複数人での確認を怠ったことによるものです。

4 対応

本日、受託事業者から31名に対しメール及び電話で謝罪するとともに、受信したメールの削除を依頼しているところです。

5 再発防止策

県から受託事業者に対して、個人情報の厳格な管理を行うとともに、メール送信の際には、複数人での確認を徹底するよう強く指導し、再発防止を図ります。

週刊OSINT 2022-23号 / Week in OSINT #2022-23

 

今号は、フィッシングキット、Telegram、ビデオについて調査し、CCTVシステムとCAPTCHAについて見ていきます。

  • Investigate Phishing Kits
  • CCTV Locations
  • Telegram Investigations
  • Investigate and Find Videos
  • Dark Web CAPTCHAs

メディア: Investigate Phishing Kits

5月にこのビデオを見逃したのですが、このテーマは私の好みにぴったりです。フィッシングキットをオープンソースで調査する。DarkTowerのAlex SlotnickとHaley Copelandは、URLScanurlqueryなどのサイトを使って、フィッシングのドメインを見つけたり、ドメインのDNSレコードに含まれる情報を調査したりする方法を紹介しています。オープンソースの情報を使ってサイバー犯罪者を追跡する方法についての素晴らしいビデオチュートリアルです。


サイト: CCTV Locations

TOCP Discordで、'BroquePicker'によるCCTVカメラに関するメッセージを見ました。海賊党のウェブサイトでは、約160,000台のプライベート・カメラ(時にはオープン・フィード付き)と、OpenStreetMapでマッピングされた他のCCTVカメラが地図上にプロットされている。このサイトでは、調査対象地域内のカメラを簡単に検索することができます。面白いのは、一部のカメラにmapillary keyがあることです。マピラリーでカメラを見るには、そのキーを持って以下のURLにアクセスすると、その場所がマピラリーで表示されます。

https://mapillary.com/map/im/{key}

これは、Google StreetViewがあまりカバーしていない地域、例えばドイツで特に便利です。


メディア: Telegram Investigations

5月末にSkopeNowはTelegram調査に関するウェビナーを開催し、スティーブ・アダムスがTelegramの情報を抽出する様々なツールやテクニックについて話しました。Telegramを初めて使う人にとって、ユーザー情報、チャット、グループやチャンネルを見つけるための検索ツールなどを抽出するための便利なテクニックを紹介するものです。


チュートリアル: Investigate and Find Videos

Ben Heublは、オンラインでビデオ素材を検索する方法について、Mediumに投稿しました。彼は、ある出来事について、より多くの映像や文脈を見つけるのに役立つさまざまなテクニックについて述べています。逆画像検索やGoogle Lensから、動画の詳細情報を表示するためのChrome拡張機能の使用まで。


記事: Dark Web CAPTCHAs

Madame HTTPSが最近立ち上げたウェブサイトで2つ目のブログ記事を書き、Torサイトで見られるさまざまなCAPTCHAの旅を紹介しています。さまざまな「ちゃんねる」から「Dread」、マーケットプレイスからフォーラムまで、すべて異なるタイプが使われており、それぞれの違いを見るのは興味深いものです。これからも良い仕事を続けて、ブログの投稿を続けてください。

株式会社大塚商会 クリーンテックス社が保有する弊社のお客様情報流出の可能性に関するお知らせとお詫び 2022年7月20日


このたび、弊社が運営するオフィスサプライ通信販売事業「たのめーる」の仕入先である丸美工藝株式会社(本社:東京都千代田区、代表取締役社長:大辻誠一郎 以下 丸美工藝)の報告で、メーカー(クリーンテックス・ジャパン株式会社(本社:神戸市西区、代表取締役社長:大山済世、以下 クリーンテックス))において、悪意のある第三者からの不正アクセスがあったことが確認されました。
クリーンテックスの保有する情報の一部が外部に流出した可能性があり、その中には「たのめーる」にてご注文されたお客様情報も含まれているとの報告がありましたのでお知らせいたします。

ご関係のお客様には多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

1.経緯

  • 2022年7月8日(金)
    クリーンテックスにて不正アクセスを検知した。
    被害の拡大を防ぐため関連するサーバへのすべてのアクセスを遮断し、その後、復旧作業と併せ安全性の確認を実施した。以降、クリーンテックスにて不正アクセスの流入経路や流出ファイルの特定等の調査を実施した。

  • 2022年7月15日(金)
    丸美工藝より、クリーンテックスが不正アクセスを受けた事実、弊社のお客様情報が流出した可能性があること等の報告を受領した。

2.流出した可能性があるお客様情報

対象者2017年以降に「たのめーる」において、
クリーンテックスの商品(玄関マット)をご注文されたお客様
件数約950件(詳細な件数は現在調査中)
情報お客様の氏名、住所、電話番号、会社名


3.今後の対応について

個人情報が流出した可能性があるお客様には、詳細が判明次第、個別にご連絡させていただきます。
関係各所への報告は、2022年7月20日(水)に個人情報保護委員会およびプライバシーマーク審査機関には、報告をいたしました。なお、2022年7月11日(月)、クリーンテックスから所轄警察署への届け出は完了しております。

弊社では、個人情報取り扱い業務における管理体制の厳重化を行うことに加え、再委託先も含めた個人情報委託先の安全管理措置への調査方法も再徹底し、再発防止に努めてまいります。