Microsoftの「SASトークン問題」で浮上した“最悪のシナリオ”とは?SASトークンが「GitHub」に流出【後編】

Microsoft技術者のミスで、同社の内部ストレージにアクセスできるトークンが「GitHub」に公開された。このインシデントは、最悪の事態を引き起こす可能性があったという。背景にある「セキュリティ問題」とは。

2023年12月11日 08時00分 公開
[Alex ScroxtonTechTarget]

 2023年6月、Microsoftの研究者がオブジェクトストレージサービス「Azure Blob Storage」の同社アカウントへのURLを誤ってソースコード共有サービス「GitHub」に公開していた。これにより、Microsoft内部のストレージを利用するための「共有アクセス署名」(SAS:Shared Access Signature)トークンが流出した。セキュリティ専門家はこのインシデントについて、ある理由から“極めて深刻な事態”に陥る可能性があったと見ている。どういうことなのか。

可能性のあった“最悪のシナリオ” 明るみに出た「2大リスク」とは

 セキュリティベンダーPromonのシニアテクニカルディレクター、アンドリュー・ホエイリー氏によると、SASトークンは管理が不十分だったり不注意があったりする場合、重大なセキュリティリスクをもたらす。今回の事件について、Microsoftが従業員向けセキュリティ教育を徹底していなかった可能性があると同氏は指摘する。

 Microsoftは今回のインシデントを受け、SASトークン自体は安全な仕組みだと強調しつつ、厳格な管理が欠かせないと説明する。同社セキュリティ専門部隊「Microsoft Security Response Center」(MSRC)によれば、今回の事件の教訓として、セキュリティリスクがあるSASトークンを特定するためのツールを開発している。

 セキュリティベンダーWizは、今回の件が示したのは、2つの大きなセキュリティリスクだと指摘する。1つ目は、ITの開発現場で「データが共有され過ぎている」ことだ。特に人工知能(AI)技術開発の際、研究者は多量のデータを共有するため、情報漏えいが生じやすいと考えられる。Wizによると、企業はAI技術開発に当たり明確なセキュリティガイドラインを定め、開発現場に浸透させる必要がある。

 2つ目のリスクは、SASトークン悪用の“連鎖反応”だ。今回のインシデントで漏えいしたSASトークンには、AI学習モデルに書き込むための権限が含まれていた。Wizによると、悪用された場合、AI学習モデルに不正コードが挿入される可能性があった。「最悪の場合、不正コードが挿入されたAI学習モデルが広く利用され、広範囲な被害が発生しかねなかった」(同社)。Wizはセキュリティ対策として、外部のAI学習モデルを利用する際、不正コードが入っていないかどうかの念入りなチェックが重要だという。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

鬮ォ�エ�ス�ス�ス�ス�ス�ー鬯ィ�セ�ス�ケ�ス縺、ツ€鬩幢ス「隴取得�ス�ク陷エ�・�ス�。鬩幢ス「�ス�ァ�ス�ス�ス�、鬩幢ス「隴主�讓滂ソス�ス�ス�ス鬩幢ス「隴趣ス「�ス�ス�ス�シ鬩幢ス「隴乗��ス�サ�ス�」�ス�ス�ス�ス

製品資料 ゾーホージャパン株式会社

医療業界を襲うランサムウェアや持続的標的型攻撃、どう対処すればよいのか?

半田病院への攻撃をはじめとし、医療業界は依然マルウェア攻撃やDDoS攻撃といったサイバー脅威に頻繁にさらされている。IoTやデジタル治療も普及する中、患者の健康情報を犯罪者から守り、多様な規制にも対応するにはどうすればよいのか。

事例 キヤノンマーケティングジャパン株式会社

大手前学園の事例に学ぶ、人材不足でも強固なセキュリティを実現する方法

教育機関を狙うサイバー攻撃が増加傾向にある。教育活動の安全を守るためには、セキュリティ強化が不可欠だが、多くの教育機関でインシデントに対処できる人材が不足している。本資料では、この問題を解決した大手前学園の事例を紹介する。

事例 キヤノンマーケティングジャパン株式会社

専門人材が不足する中でゼロトラストを実践するには? 事例に見るMDRの効果

医療機関へのサイバー攻撃が激化する中、医療情報システムを扱うSIベンダーであるテクトロンは、顧客への責任を果たすため、さらなるセキュリティ強化に取り組んでいる。そんな同社が負担なく短期間でセキュリティを向上させた方法とは?

事例 キヤノンマーケティングジャパン株式会社

多拠点のセキュリティ確保&トラブル対応が困難に、ヴィアックスはどう解決した

担当する図書館が全国で約100拠点にまで成長する一方、ネットワーク環境のばらつきによりサイバーセキュリティ対策が課題だったヴィアックス。同社は、24時間365日体制で高精度なセキュリティを確保するために、あるXDR製品を導入する。

市場調査・トレンド パロアルトネットワークス株式会社

クラウド時代に組織が取り組むべきセキュリティ施策とは?

世界10カ国・2800人以上を対象に実施した「クラウドネイティブセキュリティ調査」(2024年度)が公開された。この結果から、組織が取り組むべきセキュリティ施策を考察する。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...