未分類

2012年6月30日 at 2:37 AM

ファーストサーバデータ消去障害復旧中に情報漏洩の2次被害 2300社に影響

2012/6/29

 

ファーストサーバー復旧中にデータ漏洩が発生した件はあまり触れていませんでしたね。追加記述します。

—–

一部サービスにおける情報漏えいについて ファーストサーバー

ヤフー子会社でレンタルサーバー事業を展開するファーストサーバは2012年6月29日、6月20日に発生した大規模障害の復旧作業において、情報漏洩が起きていた可能性があると発表した。

発表文によると「対象サーバー数103台、最大2308者(法人や非法人)分の復元データの一部が、同じく障害の影響を受けた145者のデータ領域に混在した可能性がある」という。

ファーストサーバのサービスでは、1台の物理サーバーにつき最大で60契約を収容している。平常時はある顧客は他の顧客のファイルにアクセスできないように制御されているため、情報漏洩は発生しない。

ところが6月20日の大規模障害でファイルが消失したため、可能な範囲でファイルの復元を試み、復元できたものを顧客に提供していた。この時に、ある顧客に提供したファイルに別の顧客のファイルが混入したまま提供してしまった可能性があるという。

発表文では、「1者あたりの混在先は最大で6者である」と説明している。つまり、ある顧客に提供された復元ファイルを閲覧しようとすると、自社が保有・管理するファイル以外の、他社のファイルも見ることができる可能性があるという。ファーストサーバは、該当する顧客に個別に連絡し、復元ファイルの削除を依頼するとしている。

ファーストサーバは漏洩した復元ファイルの内容を明らかにしていないが、個人情報などが含まれる可能性もある。

ファーストサーバー データ復旧作業概要

 

——–

ファーストサーバーはVPS仮想サーバー構成)だと思っていたのですが、アクセス権の制御がおかしくなったことで漏洩とあるので、個々の契約者ごとに仮想サーバーを切っていたわけではないように思います。

当然レンタルサーバーよりも、ひとつの仮想サーバーを丸ごと自分用に使えるVPSサービスのほうが高価ですから、管理者権限はユーザーに与えられない形だとしてもそのような運用はしないと思います。

1つの仮想サーバー内に複数者の利用領域を混在させ、この仮想サーバーを「稼動系」「待機系」「バックアップ管理領域」構成で、1つの物理サーバーに詰め込んでいたものと思われます。

領域を、アクセス権限を付与してコントロールし複数ユーザーで共用するのは当然の構成に思われますが、各役割のサーバーはやはり物理的に分けるべきだったように思います。

One Comment

  1. Pingback: アフィリエイト収入 - レンタルサーバー ファーストサーバにてデータ消失復旧不能

Leave a Reply

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>



こちらの関連記事もオススメ!