Microsoftの「SASトークン問題」で浮上した“最悪のシナリオ”とは？：SASトークンが「GitHub」に流出【後編】

Microsoft技術者のミスで、同社の内部ストレージにアクセスできるトークンが「GitHub」に公開された。このインシデントは、最悪の事態を引き起こす可能性があったという。背景にある「セキュリティ問題」とは。

[Alex Scroxton，TechTarget]

　2023年6月、Microsoftの研究者がオブジェクトストレージサービス「Azure Blob Storage」の同社アカウントへのURLを誤ってソースコード共有サービス「GitHub」に公開していた。これにより、Microsoft内部のストレージを利用するための「共有アクセス署名」（SAS：Shared Access Signature）トークンが流出した。セキュリティ専門家はこのインシデントについて、ある理由から“極めて深刻な事態”に陥る可能性があったと見ている。どういうことなのか。

可能性のあった“最悪のシナリオ”　明るみに出た「2大リスク」とは

併せて読みたいお薦め記事

連載：SASトークンが「GitHub」に流出

• 前編：Microsoftの「丸見えになったストレージ」は“機密情報だらけ”だった？

Microsoftとデータ流出

• 「Azure Blob Storage」のデータ流出にMicrosoftが反論、その真相は？
• ドイツ当局が「Microsoft 365」から“あの国”へのデータ流出を懸念か

　セキュリティベンダーPromonのシニアテクニカルディレクター、アンドリュー・ホエイリー氏によると、SASトークンは管理が不十分だったり不注意があったりする場合、重大なセキュリティリスクをもたらす。今回の事件について、Microsoftが従業員向けセキュリティ教育を徹底していなかった可能性があると同氏は指摘する。

　Microsoftは今回のインシデントを受け、SASトークン自体は安全な仕組みだと強調しつつ、厳格な管理が欠かせないと説明する。同社セキュリティ専門部隊「Microsoft Security Response Center」（MSRC）によれば、今回の事件の教訓として、セキュリティリスクがあるSASトークンを特定するためのツールを開発している。

　セキュリティベンダーWizは、今回の件が示したのは、2つの大きなセキュリティリスクだと指摘する。1つ目は、ITの開発現場で「データが共有され過ぎている」ことだ。特に人工知能（AI）技術開発の際、研究者は多量のデータを共有するため、情報漏えいが生じやすいと考えられる。Wizによると、企業はAI技術開発に当たり明確なセキュリティガイドラインを定め、開発現場に浸透させる必要がある。

　2つ目のリスクは、SASトークン悪用の“連鎖反応”だ。今回のインシデントで漏えいしたSASトークンには、AI学習モデルに書き込むための権限が含まれていた。Wizによると、悪用された場合、AI学習モデルに不正コードが挿入される可能性があった。「最悪の場合、不正コードが挿入されたAI学習モデルが広く利用され、広範囲な被害が発生しかねなかった」（同社）。Wizはセキュリティ対策として、外部のAI学習モデルを利用する際、不正コードが入っていないかどうかの念入りなチェックが重要だという。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。