Microsoft、クラウドサービスの設定ミスで顧客情報が公開状態に 対象は6万5000社？ 同社は「誇張」と否定：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　米Microsoftはサーバの設定ミスが原因で、顧客との取引などに関する情報が公開された状態になっていたことを確認した。クラウドサービスの設定ミスに起因する情報の流出は国内外で後を絶たず、対策の必要性が叫ばれている。しかし今回の事案はそうした対策を主導すべき立場にあるMicrosoftでさえも、問題を防ぎ切れない現実を見せつけた。

　今回の問題についてはサイバーセキュリティ企業の米SOCRadarが10月19日のブログで、オブジェクトストレージサービス「Azure Blob Storage」の設定ミスにより、Microsoftの保有する2.4TBものデータが公開状態になっていたバケットを発見したと伝えた。

SOCRadarのブログから引用

　SOCRadarが設定ミスを発見したのは9月24日。公開状態になっていたのは111カ国の約6万5000組織の情報で、契約書や製品受注、プロジェクト内容などに関する情報の他、個人情報や知的財産の流出につながりかねない文書も含まれていたという。

　SOCRadarは情報流出などの被害防止を目的とした脅威インテリジェンスサービスを手掛ける。今回のような事案を積極的に監視するために、そうしたサービスの必要性をアピールしている。

露見した顧客数は6万5000　Microsoftは「誇張」と否定

　MicrosoftはSOCRadarから連絡を受け、即座に設定を変更して問題のバケットを非公開とする措置を講じた。10月19日にセキュリティ対策センターのブログでエンドポイントの設定ミスがあったことも認めているが、影響を受けた顧客数については、SOCRadarの言う6万5000組織という数字を「誇張」だと反論した。

Microsoftのブログ記事から引用

　Microsoftによると、同社が見込み客との間でやりとりしたサービス導入などの取引に関する情報が認証なしでアクセスできる状態になっていたといい、このデータには顧客の社名や電子メールアドレス、メールの内容、取引内容に関する添付ファイルなどが含まれていたことが分かった。

　調査の結果、顧客のアカウントやシステムが侵害された形跡はなかったとしている。影響を受けた顧客には、Message Centerを通じて直接連絡を取っているとした。

　原因については「不注意によるエンドポイントの設定ミス」であって、「セキュリティ脆弱性」ではないと強調。SOCRadarのブログに対しては、「この問題の範囲が著しく誇張されている」と批判し、情報が重複したり、同じメールやプロジェクトやユーザーが何度も参照されていると主張した。ただ、影響を受けた顧客の数は明らかにしなかった。

　これを受けてSOCRadarは「Microsoftにはサイバーセキュリティ業界を主導する際立った存在として、われわれの出した数字を『誇張』とする以上、自分たちで調べた数字を提示することを期待する」と迫っている。

ユーザーからの問い合わせに、Microsoftは「具体的内容は提供できない」

　この問題を巡ってTwitterに投稿された情報によれば、影響を受けた顧客がMicrosoftに対し、具体的にどんな情報が露出していたのかを問い合わせたところ、「この問題の影響を受けたデータの具体的内容は提供できません」という返事が返ってきたという。

　Microsoftから流出した情報は、公開状態のバケットからデータを集めて収録するデータベースの「Grayhat Warfare」で、何カ月も前から読んだり検索したりすることが可能だったとも伝えられている。

　Microsoft AzureやAmazonのAWSといったクラウドサービスの設定ミスは、クラウドストレージからの情報流出を招く筆頭原因の1つとして、セキュリティ機関などが繰り返し対策を促してきた。

　しかしサイバーセキュリティニュースサイトのDark Readingによれば、AWSのストレージサービスS3に関連した侵害事案はここ数年で数千件に上る。Azure Blobのストレージでは一切のアクセス権限なしに保存されたファイルが何百万も見つかったという報告もある。

　例えばユーザーに過剰な権限が与えられて、適切なノウハウを持たないユーザーが社外の相手と特定のデータを共有しようとして設定を誤ったりする事例は後を絶たないという。

　今回の問題は、膨大な量のデータが生成・収集されるようになった今、その共有や管理を巡って組織が直面している課題を浮かび上がらせたとDark Readingは分析している。