ニュース

Microsoft、クラウドサービスの構成ミスで約6万5,000社の機密文書が漏えい

  • 関根 慎一

2022年10月24日 13:28

SOCRadarが主張するデータ漏えいの範囲(出典:SOCRadar)

 米国のITセキュリティ企業SOCRadarとMicrosoftは19日(現地時間)、クラウドサービスの構成ミスによって、商取引データへの認証されていないアクセスが一時的に可能になっていたことに関する調査結果を公開した。

 SOCRadarが19日に公開した声明によれば、さる9月24日、同社のネットワーク監視が6つの不適切に構成されたサーバー(パブリックバケット)を検出し、この中には111カ国、6万5,000を超える企業の機密情報が含まれていたという。SOCRadarは今回のデータ漏えいを「BlueBleed」と名付けて調査を開始し、当該サーバー所有者のMicrosoftに通知。その結果、今回のデータ漏えいはAzure Blob Storageサーバーの構成ミスによって起きたことが明らかになった。

 漏えいしたデータには33万5,000以上の電子メール、13万3,000件のプロジェクトファイル、54万8,000人分のユーザー情報が含まれるほか、実行証明(Proof of Execution)ドキュメント、作業指示書(Statement of Work)、請求/注文情報、PoC(概念実証)文書、価格表、顧客資産ドキュメントなど事業詳細と、個人を特定できる情報(Personally Identifiable Information、PII)や知的財産に関する文書も含まれていたとしている。

漏えいしたデータの大まかな内訳(出典:SOCRadar)

 Microsoft Security Response Center(MSRC)はこの通知を受けて対応を行ない、数時間以内に適切な構成を復旧した。同社の調査では、今回のデータ漏えいは意図しない構成ミスによって起きたもので、脆弱性によるものではないことが報告された。また、このミスによって顧客のアカウントやシステムが不正アクセスを受けた形跡はないとしている。影響を受けた企業には報告済みという。

 MSRCは、SOCRadarが検索ツールを公開して「顧客を潜在的なリスクに晒した」ことに加え、「数字を誇張している」と声明の中で主張した。

 一方でSOCRadarは、検索ツールはあくまでもデータが存在するかどうかを検出するためのものとした。また、数字の食い違いについては、定義の不一致によって生じたもので、Microsoft自身が数字を提示すべきだと反論している。

 なお、SOCRadarは19日にBlueBleedの検索クエリを一時中断した。

【10月27日】記事内の表現を一部改めました。