Microsoft Bing用サーバーで検索ワードや位置情報など6.5TB分のデータが一時公開状態に

公開状態となった検索実行時のログ(同社による検索実行時の様子)

　WizCaseは22日(現地時間)、Microsoftの提供するモバイル向けBingアプリが利用しているサーバーが一時的に公開状態にあったと報告した。Microsoftではすでに問題を修正している。

　公開状態にあったデータは、Bingでの検索ワード(プライベートモード中のものを除く)、位置情報(アプリ上で位置情報が許可されている場合)、検索を実行した正確な時間、Firebase Notification Token、クーポンに関する情報、検索結果からユーザーが訪問したURLの一部、デバイスの型番、OS、ユーザーごとに割りあてられた3つの固有ID(ADID、deviceID、devicehash)だとしている。

　WizCaseでは、6.5TBものデータを抱えたサーバーが公開状態になっているのを9月12日に発見。同サーバーは1日あたり200GBもの容量増加がみられ、9月の1週目までパスワードで保護されていたものの、発見の約2日前から認証が解除されていた。調査の結果、Bingアプリのデータベースであることが明らかとなったため、13日にMicrosoftに報告。直ちに対応が開始され、16日に修正を完了しているが、少なくとも10日から16日の期間のデータが晒されていたものと思われる。

　調査によれば、同サーバーは10日から12日の間にMeow Attack(ニャー攻撃。データベースを削除した上で、Meowの文字列を残していく攻撃)を受けており、ほぼすべててのデータベースが一度削除されていた。12日の発見時点では、攻撃後に1億件のレコードが新たに蓄積されており、さらに14日には2度目のMeow Attackが実行された。

　WizCaseでは、今回の公開されていたデータをもとにした脅威として、検索ワードを悪用したフィッシングや、位置情報を利用した物理的な攻撃などが挙げられるとしている。あわせて、信頼できない送信元からのメールのリンクを開かない、検索ワードなどを保存しないプライベートな検索エンジンを使用する、位置情報に関する設定を適切に行なうなどといった、ユーザー自身によるデータの保護も実施するよう注意喚起している。