攻撃手法と対策/ファイルの一般公開

概要

クラウドストレージサービスにおいて、ファイルのアクセス権限を間違えてしまった結果、誰でも見ることが出来るようになっている。
一般公開されている場合でも、URLはランダムな文字列になっている等により、簡単には検索できないことが多いが、それでも発見されている。
また、SNSの公開範囲を間違えるケースや、MongoDBのアクセス権限がデフォルトのままになっていることによる問題も発生している。

原因

1. 設定ミス

対策

1. 一般公開できる人を制限する
   一般公開できる権限をそもそも持っていなければ、このような事態は発生しない。そのため、不要なら一般公開できる権限を与えない。
2. 一般公開できる場所を制限する
   フォルダのような構造を持っている場合、一般公開できる場所を制限できることがある。そのような場合、一般公開できるフォルダを制限することで、設定ミスに気づきやすいようにする。
3. 監視を行う
   一般公開されているファイルやフォルダをツールで監視し、増えるたびに何等かの確認プロセスを組み込む。
   人数が多い場合、都度確認は行えないため、行動検知型の監視ツールを利用するとともに、ログを追跡できるようにする。
4. ファイルを暗号化する
   一般公開された場合も読めないように、ファイルを暗号化する。
   多くの場合、利便性が低下するため、機密性の高いファイルのみにしぼった方が良いが、今度は暗号化もれが発生する。
   
   

どこまで対策するべきか

個人

クラウドストレージサービスを利用する場合、Public Folderは原則空っぽにしておく。
SNSは可能ならデフォルトの公開範囲を制限する。

企業

ある程度（ファイル1つ2つ）は情報漏えいする前提に立つ。
公開に関するルールを設け、ルールに従っていないファイルやフォルダについては強制的に非公開に設定するようなツールを導入する(手動運用もありうる)。
可能ならば、行動検知系のツールを導入し、大量にファイルが公開されたような場合に検知できるようにする（1つ2つなら影響は軽微だが、大量に漏えいした場合、影響範囲によっては会社が傾くことになるため）。