2023年8月30日
ある E コマース企業が、Amazon Web Services(以下「AWS」)のキーを使って、不正アクセス者から顧客データベースにアクセスされた。エンジニアの従業員が、定期的なキーのローテーションの際に古い AWS キーの安全な削除を怠ったため、古いキーを使って本番環境とデータベースにアクセスすることができた。データ侵害後の是正措置(古いAWSキーの完全削除など)と、今後のインシデントを防止するための対策(不正なアクティビティを検出するためのアクティビティログの監視強化など)を講じた結果、同社は7万4400シンガポールドル(約55万米ドル)の罰金を科されたのである。
Aug 30, 2023
An unauthorised actor gained access to an e-commerce company’s customer database through its Amazon Web Services (“AWS”) Keys; an engineering employee failed to securely delete the old AWS Key during its regular key rotation, consequently, the old key was useable to access the company’s production environment and databases. After taking remedial measures after the breach (e.g. performing full deletion of old AWS keys) and implementing measures to prevent future incidences (e.g. increased monitoring of activity logs to detect unauthorised activity), the company was fined S 74,400 (USD 550,000).
[yuryowaku]
有料会員になって頂くと、以下のコンテンツをご覧いただけます。
- 【Background Facts】 ・・・発生した事象の概要
- 【ビジネスとの関係】・・・本事例に関連してビジネス上留意すべき点
- 【情報ソース】・・・本情報のソース