ニュース
MicrosoftのAI研究者が誤って38TBのデータを公開 AI時代に企業が気を付けるべきこととは
WizはMicrosoftのAI研究者がGitHubに38TBのデータを誤って公開したと報じた。SASトークンの設定ミスが原因だと指摘されていて、AI技術採用とセキュリティリスクへの対策が説明されている。
セキュリティ企業のWizは2023年9月18日(現地時間)、MicrosoftのAI(人工知能)研究者が誤って38TBのデータを「GitHub」リポジトリに公開していたと報じた。このインシデントは「SASトークン」の構成ミスに起因していて、3万件を超える「Microsoft Teams」(以下、Teams)のメッセージや機密情報、パスワードなどが露出してとされる。MicrosoftはAI技術の広がりで新たなリスクが出てきたと指摘しており、SASトークンの適切な利用やセキュリティリスクへの理解を呼びかけている。
Microsoft Teamsメッセージ3万件や秘密鍵を含む情報がGitHubに露出
今回のインシデントの主な流れは以下の通りだ。
- MicrosoftのAI研究チームがオープンソースのトレーニングデータをGitHubに公開する段階で、誤って従業員38人分のワークステーションディスクバックアップなどを含むデータ38TB分を公開した
- 公開したデータには機密情報や秘密鍵、パスワード、3万を超える内部のTeamsメッセージが含まれていた
- 研究者らはSASトークンと呼ばれる「Microsoft Azure」(以下、Azure)におけるファイル共有の機能を使っていた。この機能を使うことで、Azureのストレージアカウントからデータを共有できる
- SASトークンではアクセスレベルを特定のファイルのみに限定できるが、今回のケースではそのリンクがストレージアカウント全体を共有するものに設定されており、結果として38TBのデータ全てを共有してしまった
Microsoftは今回のインシデントについて「より多くのエンジニアが大量のトレーニングデータを扱うようになったことで発生した新しいリスクの例だ」としている。データサイエンティストやエンジニアが新しいソリューションを本番環境に導入する場合には、彼らが扱う大量のデータに対して追加のセキュリティチェックと保護手段が必要になると指摘している。
WizはSASトークンに関して次のような推奨事項を挙げている。
- アカウントSASは外部共有には使わない。トークン作成における間違いは見逃しが発生しやすく、機密データを公開してしまうリスクが存在している
- 外部共有には保存されているアクセスポリシーを使うことを検討する
- 期間限定でコンテンツを共有する場合は、有効期限が7日間に制限されている「ユーザー委任SAS」の使用を検討する。さらに、外部共有専用のストレージアカウントを作成して過剰な特権トークンの潜在的な影響を外部データのみに制限することも検討する
- ストレージアカウントごとに個別にSASアクセスを無効にする
関連記事
- Microsoft、将来的にWindowsでTLS 1.0および1.1を無効化
Microsoftは近い将来、WindowsでTLS 1.0とTLS 1.1を無効すると再度通知した。これらはセキュリティリスクがあるとされており、標準化団体や規制機関が数年間にわたって非推奨または禁止を呼びかけている。 - Microsoft、約25の顧客に影響を与えたStorm-0558によるハッキング被害の原因を公表
Microsoftは、複数の政府顧客を含む全世界の約25の顧客が、脅威グループ「Storm-0558」によってハッキングされた件について原因を報告した。 - Teamsのセキュリティ機能が“通用しない”マルスパムキャンペーンが増加中
TruesecはTeamsを悪用するマルスパムキャンペーン「DarkGate Loader」が増加していると報告した。このキャンペーンはTeamsのセキュリティ機能では対応困難であると指摘している。 - Microsoft、生成AIによる知的財産権侵害での法的リスクを負担する新方針を発表
Microsoftは生成AIの出力に関する知的財産権侵害での法的リスクを負うとする「Copilot Copyright Commitment」を発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.