Microsoft、クラウドサービスの設定ミスで顧客情報が公開状態に 対象は6万5000社? 同社は「誇張」と否定:この頃、セキュリティ界隈で
米Microsoftはサーバの設定ミスが原因で、顧客との取引などに関する2.4TBものデータが公開された状態になっていたことを確認した。データには顧客の社名や電子メールアドレス、メールの内容、取引内容に関する添付ファイルなどが含まれていたという。
米Microsoftはサーバの設定ミスが原因で、顧客との取引などに関する情報が公開された状態になっていたことを確認した。クラウドサービスの設定ミスに起因する情報の流出は国内外で後を絶たず、対策の必要性が叫ばれている。しかし今回の事案はそうした対策を主導すべき立場にあるMicrosoftでさえも、問題を防ぎ切れない現実を見せつけた。
今回の問題についてはサイバーセキュリティ企業の米SOCRadarが10月19日のブログで、オブジェクトストレージサービス「Azure Blob Storage」の設定ミスにより、Microsoftの保有する2.4TBものデータが公開状態になっていたバケットを発見したと伝えた。
SOCRadarが設定ミスを発見したのは9月24日。公開状態になっていたのは111カ国の約6万5000組織の情報で、契約書や製品受注、プロジェクト内容などに関する情報の他、個人情報や知的財産の流出につながりかねない文書も含まれていたという。
SOCRadarは情報流出などの被害防止を目的とした脅威インテリジェンスサービスを手掛ける。今回のような事案を積極的に監視するために、そうしたサービスの必要性をアピールしている。
露見した顧客数は6万5000 Microsoftは「誇張」と否定
MicrosoftはSOCRadarから連絡を受け、即座に設定を変更して問題のバケットを非公開とする措置を講じた。10月19日にセキュリティ対策センターのブログでエンドポイントの設定ミスがあったことも認めているが、影響を受けた顧客数については、SOCRadarの言う6万5000組織という数字を「誇張」だと反論した。
Microsoftによると、同社が見込み客との間でやりとりしたサービス導入などの取引に関する情報が認証なしでアクセスできる状態になっていたといい、このデータには顧客の社名や電子メールアドレス、メールの内容、取引内容に関する添付ファイルなどが含まれていたことが分かった。
調査の結果、顧客のアカウントやシステムが侵害された形跡はなかったとしている。影響を受けた顧客には、Message Centerを通じて直接連絡を取っているとした。
原因については「不注意によるエンドポイントの設定ミス」であって、「セキュリティ脆弱性」ではないと強調。SOCRadarのブログに対しては、「この問題の範囲が著しく誇張されている」と批判し、情報が重複したり、同じメールやプロジェクトやユーザーが何度も参照されていると主張した。ただ、影響を受けた顧客の数は明らかにしなかった。
これを受けてSOCRadarは「Microsoftにはサイバーセキュリティ業界を主導する際立った存在として、われわれの出した数字を『誇張』とする以上、自分たちで調べた数字を提示することを期待する」と迫っている。
ユーザーからの問い合わせに、Microsoftは「具体的内容は提供できない」
この問題を巡ってTwitterに投稿された情報によれば、影響を受けた顧客がMicrosoftに対し、具体的にどんな情報が露出していたのかを問い合わせたところ、「この問題の影響を受けたデータの具体的内容は提供できません」という返事が返ってきたという。
Microsoftから流出した情報は、公開状態のバケットからデータを集めて収録するデータベースの「Grayhat Warfare」で、何カ月も前から読んだり検索したりすることが可能だったとも伝えられている。
Microsoft AzureやAmazonのAWSといったクラウドサービスの設定ミスは、クラウドストレージからの情報流出を招く筆頭原因の1つとして、セキュリティ機関などが繰り返し対策を促してきた。
しかしサイバーセキュリティニュースサイトのDark Readingによれば、AWSのストレージサービスS3に関連した侵害事案はここ数年で数千件に上る。Azure Blobのストレージでは一切のアクセス権限なしに保存されたファイルが何百万も見つかったという報告もある。
例えばユーザーに過剰な権限が与えられて、適切なノウハウを持たないユーザーが社外の相手と特定のデータを共有しようとして設定を誤ったりする事例は後を絶たないという。
今回の問題は、膨大な量のデータが生成・収集されるようになった今、その共有や管理を巡って組織が直面している課題を浮かび上がらせたとDark Readingは分析している。
関連記事
- 「テレワークは生産性を下げる」は妄想か? 社員を監視したいリーダー層にMicrosoftが警鐘
コロナ禍で発展したテレワーク。通勤などがなくなりメリットを感じる社員が多い一方、企業のリーダーの中には「生産性が落ちる」と疑念を抱くものもいるという。このような社員とリーダーの間に生じるずれについて、Microsoftは警鐘を鳴らしている。 - 充電ケーブルからスマホをハッキング 充電中にゴーストタッチで画面を強制操作 中国とドイツチームが発表
中国のZhejiang UniversityとドイツのTechnical University of Darmstadtによる研究チームは、静電容量式タッチパネルに対して、充電ケーブル経由で信号を注入するゴーストタッチ攻撃を提案した研究報告を発表した。 - 「GitHub Copilot」のAIが自動生成するコードはどのくらい安全か? 研究者らが脆弱性を検証
米New York UniversityとカナダのUniversity of Calgaryの研究チームは、コードを自動生成する「GitHub Copilot」において、生成したコードがセキュリティ面でどれくらい安全かを調査した研究報告を発表した。 - 量子科学技術研の病院がUSBメモリ紛失 患者情報3300人分入り 使用したまま医師離席、戻った時には見当たらず
量子科学技術研究開発機構(QST)は、医療部門のQST病院で患者の個人情報を含むUSBメモリを紛失したと発表した。紛失したUSBメモリは患者約3300人分の氏名や臨床情報などを含んでいたという。 - 「Twitterの“電話番号で垢バレ”が勝手にオンになっている」と騒動→「最初からオンです」とTwitter
「Twitterで、電話番号からアカウントを検索できる機能が、勝手にオンになっている。オフにしていたはずなのに」などと話題に。Twitterによるとこの機能は「デフォルトでオン」だという。
Copyright © ITmedia, Inc. All Rights Reserved.