Microsoftの「丸見えになったストレージ」は“機密情報だらけ”だった?SASトークンが「GitHub」に流出【前編】

AI技術は、Microsoftにとっては“肝いり”の分野だ。それに関連した取り組みの中で、同社内部のストレージにアクセスできる情報を、同社が誤って「GitHub」に公開していた事態が明るみに出た。その影響とは。

2023年12月04日 08時00分 公開
[Alex ScroxtonTechTarget]

 Microsoftの研究者が人工知能(AI)技術のオープンソースの学習モデルを開発中に、オブジェクトストレージサービス「Azure Blob Storage」の同社アカウントへのURLを誤ってソースコード共有サービス「GitHub」に公開していた。公開情報にはMicrosoft内部のストレージを利用するための「共有アクセス署名」(SAS:Shared Access Signature)トークンが含まれていた。これによる影響範囲はどれほどなのか。

ストレージにあった大量データ、その驚愕の実態

 今回のインシデントがあったのは、2023年6月のことだ。セキュリティベンダーWiz が、SASトークンが公開されていることを発見した。このSASトークンでアクセスできるストレージには、Microsoft従業員のPCのバックアップデータや認証情報、秘密鍵などが保存されていた。他にもコラボレーションツール「Microsoft Teams」で交わされた内部メッセージ約3万件を含め、合計で38TBのデータがあったという。

 Microsoftのセキュリティ専門部隊「Microsoft Security Response Center」(MSRC)は、「データ漏えいの影響は限定的だった」と説明する。漏えいしたデータの中には、同社ユーザー企業の情報は含まれていないということだ。「今回の件についての情報を公開するとともに、再発防止策を講じる」(MSRC)

 Wizセキュリティ専門家のヒライ・ベンサッソン氏とロニー・グリーンバーグ氏は、「SASトークンには基本的なセキュリティの問題がある」と指摘する。SASトークンはクラウドサービス群「Microsoft Azure」のストレージへのアクセスを制御するためのツールだ。両氏によれば、厳格に管理されていないと情報漏えいにつながる恐れがある。

 SASトークンのアクセス権限や有効期限はユーザーが容易に設定できる。Wizによると、今回公開されたSASトークンは2051年まで有効に設定されていた。ユーザーはSASトークンの設定を自由に変更することもできる。そのため、SASトークンがどのように設定されているかを管理者は把握しにくい。ベンサッソン氏とグリーンバーグ氏は、「攻撃者にとってSASトークンは格好の標的だ」と警告する。


 後編は、今回の事件が示した「2つの大きなセキュリティリスク」を考える。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news190.jpg

YouTube広告の実店舗売り上げへの貢献を計測 インテージが「Sales Impact Scope」を提供開始
インテージがYouTube出稿による小売店販売への広告効果を計測するサービスを提供開始した...

news160.jpg

2025年のデジタル広告業界の展望 日本のマーケターの優先メディアと課題は?
IASは、2025年におけるデジタル広告業界の主要なトレンドについて掘り下げたレポート「Th...

news026.png

「ECプラットフォーム」売れ筋TOP10(2025年1月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。