編集部
Microsoftの人工知能研究部門が、GitHubを通じて38TBの内部データを誤って公開した。この漏洩データには、パスワード、アクセスキー、コンピュータのバックアップ、さらには数千件に及ぶMicrosoft Teamsのメッセージが含まれている。ニューヨークに拠点を置くクラウドセキュリティ企業Wizがこの情報を発見し、公表した。
GitHubを通じた38TBのデータ漏洩:一体何が起きたのか
Microsoftの人工知能研究部門がGitHubを通じて38TBの内部データを誤って公開した。この事態は、一つの誤設定されたSAS(Shared Access Signature)トークンが原因である。このトークンは、Azure Storageリンクを通じてデータにアクセスするためのもので、通常は限定された権限しか持たないはずである。
しかし、この場合、トークンは全権限を持っていたため、誰でもMicrosoftのAzure Storageアカウントにアクセスできる状態になっていた。漏洩したデータには、パスワード、アクセスキー、そして数千件に及ぶMicrosoft Teamsのメッセージが含まれていた。
Wiz社による発見:MicrosoftのAzure Storageアカウントへの全権限
このデータ漏洩を発見したのは、ニューヨークに拠点を置くクラウドセキュリティ企業Wizである。Wizは定期的に企業がクラウドでどのようにデータを誤って公開しているかを調査しており、その一環としてこの事態を発見した。Wizによれば、誤設定されたSASトークンは2020年7月から存在していた可能性があり、それ以降誰でもデータを削除または上書きすることができた。Wizはその後、Microsoftにこの問題を報告し、Microsoftは2日後にSASトークンを無効化した。
Microsoftの対応と今後の影響:セキュリティ対策は十分か
Microsoftはこのデータ漏洩問題に対して迅速に対応した。Wizからの報告を受けてから2日後にはSASトークンを無効化し、その後の調査で顧客データが漏洩していないことを確認した。しかし、この一件はMicrosoftにとって大きな教訓である。特に、内部データが誤って公開されるリスクは、今後も続く可能性がある。Microsoftは今後、GitHubの秘密情報スキャンサービスの使用を増やすと報じられているが、それだけで十分なのか疑問が残る。
Microsoftのデータ漏洩事件とクラウドセキュリティの課題
Microsoftの人工知能研究部門が38TBの内部データをGitHub上で誤って公開した事件は、クラウドセキュリティの脆弱性を改めて浮き彫りにした。この事件は、一つの誤設定されたSASトークンが引き金となり、それが全権限を持つ形で公開されたために発生した。このような誤設定は、一見些細なミスに見えるかもしれないが、その影響は甚大である。
特に注目すべきは、この誤設定が長期間にわたって存在していた点である。Wiz社によると、このSASトークンは2020年7月から誤設定されていた可能性があり、それが指摘されるまでの間に誰でもデータにアクセスできる状態が続いていた。これは、企業がクラウドセキュリティに対する監視体制を強化する必要があるという警鐘である。
また、この事件はMicrosoftだけでなく、他の多くの企業にも教訓を提供する。クラウドサービスは便利である一方で、その複雑性と拡張性がセキュリティリスクを高める可能性がある。したがって、企業は内部データの管理に関して、より厳格なセキュリティ対策と監視体制の構築が求められる。
まとめ
Microsoftの人工知能研究部門がGitHubを通じて38TBの内部データを誤って公開した。この事件は、一つの誤設定されたSASトークンが原因で発生し、そのトークンが全権限を持つ形で公開された。
ニューヨークに拠点を置くクラウドセキュリティ企業Wizがこの情報を発見し、Microsoftに報告した。この事件は、クラウドセキュリティの脆弱性と、それに対する厳格な監視体制の必要性を改めて浮き彫りにした。