Microsoftがセキュリティログを紛失 複数の製品に影響：セキュリティニュースアラート

コンピュータ情報サイト「Bleeping Computer」は、Microsoftがセキュリティログを紛失していたと顧客に報告したと報じた。この問題はバグにより発生し、多くのMicrosoft製品に影響を与えているという。

[後藤大地，有限会社オングス]

　コンピュータ情報サイト「Bleeping Computer」は2024年10月17日（現地時間、以下同）、Microsoftが同年9月2〜19日にわたりセキュリティログを紛失していたことを企業顧客に警告したと報じた。

　この問題はバグが原因とされており、不正なアクティビティーの検出に重要なログデータが一部欠落する事態に陥っていることが分かった。失われたログにはネットワークの不審なトラフィックやログイン試行など、セキュリティにおいて重要なデータが含まれていたという。

約1カ月のセキュリティログを紛失　影響が出るMicrosoft製品は？

　この欠落によってサイバー攻撃が検出されず、企業が脅威にさらされる可能性がある。Microsoftが顧客に提供した事後インシデントレビュー（PIR）によると、ログ記録の問題はさらに悪化し、一部のサービスで2024年10月3日まで続いていたことが確認されている。

　Microsoftのレビューによると、影響を受けたサービスは以下の通りだ。

• Microsoft Entra ID：　サインインログおよびアクティビティーログが不完全の可能性がある。「Azure Monitor」を介して「Microsoft Sentinel」や「Microsoft Purview」「Microsoft Defender for Cloud」などの「Microsoft Security」製品に流れるEntraログも影響を受けている
• Azure Logic Apps：　「Log Analytics」「Resource Logs」「Diagnostic Settings」のテレメトリーデータに断続的なギャップが発生した
• Azure Healthcare API：　診断ログが部分的に影響を受けた
• Microsoft Sentinel：　セキュリティ関連のログやイベントにギャップの可能性がある。顧客データの分析や脅威の検出、セキュリティアラートを生成する能力に影響する可能性がある
• Azure Monitor：　影響を受けたサービスのログデータに基づいてクエリを実行した際にギャップや結果の減少が確認された。ログデータを基にしたアラートを設定している場合、アラートに影響が出る可能性がある
• Azure Trusted Signing：　「SignTransaction」および「SignHistory」のログが部分的に不完全であることが判明した
• Azure Virtual Desktop：　「Application Insights」の一部が不完全。Azure Virtual Desktopの主な接続性と機能に影響はない
• Power Platform：　管理者および作成者ポータルの分析レポート、ライセンスレポート、「Data Lake」へのデータエクスポート、「Application Insights」、アクティビティーログなどさまざまなレポートにおいてデータに影響を及ぼす若干の不一致が発生

　Microsoftによるとこの問題はログ収集システムにおける別のバグを修正する際に新たに発生したバグが原因としている。安全な手順でバグ修正を実施したものの新たなバグをすぐに特定できず、検出に数日かかったと説明している。このバグはすでに解決されており、全ての顧客に通知済みであることが伝えられている。