「Azure Blob Storage」のデータ流出問題が“大げさではない”理由：「Azure Blob Storage」に公開設定ミス【後編】

「Azure Blob Storage」にデータ流出の可能性があることが発覚した。Microsoftは、SOCRadarがミスを指摘したことについて「問題を誇張している」と非難。一方セキュリティ関係者は、問題の深刻さを指摘する。

[Alex Scroxton，TechTarget]

　セキュリティ企業SOCRadarは2022年9月、Microsoftのオブジェクトストレージサービス「Azure Blob Storage」で顧客データが誤って公開されていることを指摘した。Microsoftは調査を実施し、偶発的な設定ミスにより同社の顧客データが不正アクセスを受ける可能性があることを確認した。

　一方で、SOCRadarが2022年10月に公開したブログ記事の内容について、Microsoftは「大きな誇張がある」と批判している。しかし、セキュリティ関係者は問題の深刻さを指摘する。

Azure Blob Storageの設定ミスが“大げさ”ではなく“深刻”な理由

併せて読みたいお薦め記事

連載：「Azure Blob Storage」に公開設定ミス

• 「Azure Blob Storage」のデータ流出にMicrosoftが反論、その真相は？

過去に発生したデータ流出事件

• トヨタのソースコード流出事件　再発防止のヒントはなぜ「OSS」にあるのか
• グラセフVI（GTA VI）開発中映像は“あのチャットツール”から流出か？

　SOCRadarは、組織が今回の問題の影響を受けているかどうかを確認できる検索ツール「BlueBleed」を公開した。これに対してMicrosoftは「顧客のプライバシーやセキュリティをリスクにさらす危険性がある」と批判。SOCRadarはツールの提供を一時停止した。

　「BlueBleedが目指しているのは、個人情報が漏えいしているかどうかをチェックできるWebサイト『Have I Been Pwned』の企業版だ」とSOCRadarは説明する。組織は、SOCRadarが過去に検出したクラウドサービスからのデータ漏えい情報に、自社のデータが含まれているかどうかをBlueBleedで検索できる。

　SOCRadarはBlueBleedの機能について、「出力したデータにドメイン名が含まれるかどうかを表示するのみで、それ以外の詳細については公表していない」と主張する。「SOCRadarのビジネスは、顧客のおかげで成り立っている。従って、顧客のプライバシーやセキュリティを危険にさらすような不必要なリスクを犯すことはない」（同社）

　さらにSOCRadarは次のように付け加える。「組織の機密データを公開状態のバケット（データ保存領域）で管理する方がよっぽど大きな脅威だ」

　プライバシー保護メディア運営企業「Pixel Privacy」のクリス・ホーク氏は、次のようにコメントする。「残念ながら、近年目にするデータ漏えいの多くは、クラウドサービス『Microsoft Azure』や『Amazon Web Services』（AWS）のバケット設定ミスが原因だ。設定に人間が関与する限り、今後も漏えいは起こり続けるだろう」

　サイバーセキュリティ情報を扱うWebサイト「Comparitech」の編集者ポール・ビショフ氏は、次のようにコメントする。「Microsoftの顧客は、今回のデータ漏えいの影響を踏まえて、標的型フィッシングメールやテキストメッセージに注意する必要がある。公開されたデータの関係者に上級管理職が含まれていることを考えると、CEO詐欺やビジネスメール詐欺の格好の標的となる」

　Microsoftは、誤って公開されたデータが実際に盗まれたとは明言していない。しかし、ビショフ氏は次のように話す。「Comparitechが実施したハニーポット（おとり）調査では、今回のような誤った設定のサーバは攻撃者に数時間以内に発見され、攻撃される可能性があることが分かっている」

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。