「Azure Blob Storage」のデータ流出にMicrosoftが反論、その真相は？：「Azure Blob Storage」に公開設定ミス【前編】

セキュリティ企業SOCRadarは、ブログ記事で「Azure Blob Storage」のデータ流出について指摘した。これに対しMicrosoftは、「問題の範囲を誇張している」と批判する。その真相は。

≫ 2022年12月16日 05時00分公開

[Alex Scroxton，TechTarget]

印刷／PDF

メール通知

連載「Computer Weekly発　世界に学ぶI...」の新着をメールで通知

「Azure Blob Storageのデータ流出」の真相

会員登録（無料）が必要です

併せて読みたいお薦め記事

データ保護関連の注目記事

　Microsoftはこの件について調査を実施。その結果、インスタンスの設定ミスにより、同社の顧客に関する商取引データが不正アクセスを受ける可能性があることを確認した。データには、顧客の氏名やメールアドレスとその内容、会社名、連絡先などの情報が含まれていた。

　設定ミスのあったエンドポイントの保護を完了した上で、Microsoftは「顧客のアカウントやシステムが侵害された形跡は確認されていない」と説明した。同社によると、影響を受けた全顧客に対して問題を通知済みだ。

　「今回問題となったデータは世界中の6万5000社以上の組織に関連している」とSOCRadarは話す。同社は今回問題となったデータを発見した後、Azure Blob Storageに保存されている、Microsoftのデータベース管理システム（DBMS）「SQL Server」のバックアップを調査した。その結果、他のAzure Blob Storageへのリンクを確立することが可能だった。「これにより、10万社以上の組織の機密データが危険にさらされる可能性がある」（SOCRadar）

　SOCRadarはこの一連のデータ漏えいを「BlueBleed」と名付け、「近年で最も重要なB2B（企業間商取引）データ流出事件の一つだ」と主張する。同社は当初、組織が今回の問題の影響を受けているかどうかを確認できる検索ツール「BlueBleed」を公開したが、Microsoftからの苦情を受けて提供を一時停止した。

　MicrosoftはSOCRadarの一連の行動について、次のように批判する。「当社は、SOCRadarが設定ミスについて知らせてくれたことに感謝している。一方で、同社のブログ記事は問題を大きく誇張している」

　SOCRadarが公表したデータセットをMicrosoftが調査したところ、メールやプロジェクト、ユーザーについて、重複したデータが存在することが判明したという。Microsoftは「この問題を非常に重く受け止めており、SOCRadarが数字を誇張したことに失望している」と述べている。

　さらに重要な問題として、MicrosoftはSOCRadarが検索ツールBlueBleedを公開したことについて次にように指摘する。「このようなツールを公開することで、顧客のプライバシーやセキュリティをリスクにさらす危険性がある」

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

TechTargetジャパントップセキュリティ