サイバーセキュリティ プロバイダー SOCRadar は10月19 日に、同社のクラウドセキュリティモジュールが、Microsoft(マイクロソフト)の Azure Blobの単一のサーバーストレージにおいて、構成ミスを検出したと報告した。そして、それのみならず、既に2.4TBのデータ(5年間に及ぶ6万5000人の既存または見込み顧客の署名入り請求書や契約書、連絡先、電子メールなど)が流出しているとのことだ。
- Microsoft Security Response Center: Investigation Regarding Misconfigured Microsoft Storage Location
- SOCRadar: Sensitive Data of 65,000+ Entities in 111 Countries Leaked due to a Single Misconfigured Data Bucket
- Ars Technica: Microsoft leaked 2.4TB of data belonging to sensitive customer. Critics are furious
Azure Blob Storage上には複数の SQL Server データベースとさまざまなファイルが含まれており、2017 年から 2022 年 8 月までに記録されたデータ量は合計で約 2.4 TB であるとのことだ。今回の事件で流出した文書には、実行証明書(POE)や作業明細(SoW)、製品の注文や見積、顧客文書、プロジェクトの詳細、個人情報、知的財産を含む文書、335,000通以上の電子メール、133,000のプロジェクト、548,000人のユーザーに関するものなどが含まれている。SOCRadarは、Azure Blob Storageの設定ミスの結果、1つのデータバケットに情報があることを発見したと述べている。
しかし、Microsoftはその後独自の情報開示を掲載し、SOCRadarの統計には「同じメール、プロジェクト、ユーザーへの複数の参照による重複した情報」が含まれているため、SOCRadarは「この問題の範囲を大幅に誇張した」と述べている。同社は、「この問題は、Microsoftのエコシステム全体で使用されていないエンドポイントにおける意図しない誤設定によって引き起こされたものであり、セキュリティの脆弱性の結果ではありません。」とも述べている。
Microsoftはまた、SOCRadarが、自分のデータが流出したバケットに入っているかどうかを判断するのに使える検索エンジン「Bluebleed」を掲載したことについて、「プライバシーやセキュリティの面で顧客の最善の利益を確保できていない」、つまり、「ユーザーはデータ侵害の影響を受けているかどうかをSOCRadar上で確認できるが、これは公開されたデータであり、認証を提供しないため、それがかえって不必要なリスクにさらされる危険を助長している」と批判している。
被害を受けたある顧客が、自分たちの組織に属する具体的なデータが流出したかどうかを尋ねるためにMicrosoftに問い合わせたところ、回答は「この問題で具体的に影響を受けたデータを提供することはできません。」とのことだ。被害を受けたユーザーが抗議すると、Microsoftのサポートエンジニアは再び断ってきたという。
批評家たちは、Microsoftが影響を受けた人たちに直接通知した方法についても非難した。同社は、Microsoftが管理者と連絡を取るために使用している社内メッセージシステム「メッセージセンター」を通じて、影響を受ける団体に連絡を取った。すべての管理者がこのツールにアクセスできるわけではないので、一部の通知が見落とされた可能性がある。また、Twitterに表示されたダイレクトメッセージでは、Microsoftが「当局に公表することは法律で義務づけられていない」と述べている。
