Microsoft従業員の不注意から生まれたミスにより、オープンソースプロジェクトの人気プラットフォーム「GitHub」上で38TBもの膨大な機密データが流出してしまいました。このセキュリティ上の失態はWizのセキュリティ研究者によって発見され、すぐにMicrosoftに問題が報告されました。

今回の事故は、Microsoftの従業員がオープンソースのAIトレーニングデータを含むリポジトリをGitHubで公開している時に発生しました。このリポジトリ内には、Microsoftが所有するAzureストレージの社内アカウントにリンクされたURLが含まれていました。残念ながら、このURLには過度に許容されたShared Access Signature(SAS)トークンが組み込まれており、Azureストレージ内のリソースに対する完全な制御が許可されていました。

流出したデータには、Microsoftの元従業員2名が所有していたPCのバックアップが含まれていたと伝えられている

流出したデータには機密情報も


このセキュリティ対策の欠如により、Wizセキュリティチームだけでなく、潜在的な悪意ある攻撃者もストレージアカウント内のファイルにアクセス、変更、削除出来るようになっていました。侵害されたデータには、Microsoftサービスのパスワード、秘密コード、及び359人のMicrosoft従業員が交換した30,000件を超える社内のMicrosoft Teamsメッセージ等の機密情報が含まれていました。

さらに、流出したデータには、Microsoftの元従業員2名が所有していた個人用PCのバックアップファイルが含まれていたと伝えられています。

データ漏洩の規模にも関わらず、Microsoftはその重大性を軽視しており、顧客データや内部サービスが侵害されることはなく、顧客によるそれ以上の対応は必要無いと強調しました。同社は6月22日にSASトークンを失効させ、6月24日までに漏洩を修正するという迅速な措置を講じました。

「その後、当社の顧客及び事業継続への潜在的な影響を理解するために追加の調査が行われました。その調査では、今回の漏洩の結果として顧客にリスクが及ぶことは無いと結論付けられました。」

この事故を受けて、Microsoftはリスクを最小限に抑えるために、URLを重要なリソースに制限すること、権限を必要最小限に制限すること、SAS URLの有効期限を短く設定すること等、SASトークンを管理するためのベストな方法を推奨しました。

今回の流出事件は、Microsoftのような大規模な組織内であっても、堅牢なセキュリティ対策とアクセス制御の適切な構成の重要性を浮き彫りにしました。これは、機密データの保護における継続的な課題と、セキュリティ慣行の継続的な改善の必要性を思い出させるものとして機能します。Microsoftは、今後同様の問題を積極的に特定して対処出来るよう、検出及びスキャンツールを強化することを約束しました。

この記事は、編集部が日本向けに翻訳・編集したものです。

原文はこちら