「Azure Blob Storage」のデータ流出にMicrosoftが反論、その真相は?:「Azure Blob Storage」に公開設定ミス【前編】
セキュリティ企業SOCRadarは、ブログ記事で「Azure Blob Storage」のデータ流出について指摘した。これに対しMicrosoftは、「問題の範囲を誇張している」と批判する。その真相は。
2022年9月24日(米国時間)、セキュリティ企業SOCRadarは、Microsoftのオブジェクトストレージサービス「Azure Blob Storage」の顧客データが誤って公開状態となっていることをMicrosoftに通知した。
SOCRadarは、このデータ流出問題の内容を記載したブログ記事を2022年10月に公開。一方、Microsoftはブログ記事の内容について「大きな誇張がある」と批判している。
「Azure Blob Storageのデータ流出」の真相
Microsoftはこの件について調査を実施。その結果、インスタンスの設定ミスにより、同社の顧客に関する商取引データが不正アクセスを受ける可能性があることを確認した。データには、顧客の氏名やメールアドレスとその内容、会社名、連絡先などの情報が含まれていた。
設定ミスのあったエンドポイントの保護を完了した上で、Microsoftは「顧客のアカウントやシステムが侵害された形跡は確認されていない」と説明した。同社によると、影響を受けた全顧客に対して問題を通知済みだ。
「今回問題となったデータは世界中の6万5000社以上の組織に関連している」とSOCRadarは話す。同社は今回問題となったデータを発見した後、Azure Blob Storageに保存されている、Microsoftのデータベース管理システム(DBMS)「SQL Server」のバックアップを調査した。その結果、他のAzure Blob Storageへのリンクを確立することが可能だった。「これにより、10万社以上の組織の機密データが危険にさらされる可能性がある」(SOCRadar)
SOCRadarはこの一連のデータ漏えいを「BlueBleed」と名付け、「近年で最も重要なB2B(企業間商取引)データ流出事件の一つだ」と主張する。同社は当初、組織が今回の問題の影響を受けているかどうかを確認できる検索ツール「BlueBleed」を公開したが、Microsoftからの苦情を受けて提供を一時停止した。
MicrosoftはSOCRadarの一連の行動について、次のように批判する。「当社は、SOCRadarが設定ミスについて知らせてくれたことに感謝している。一方で、同社のブログ記事は問題を大きく誇張している」
SOCRadarが公表したデータセットをMicrosoftが調査したところ、メールやプロジェクト、ユーザーについて、重複したデータが存在することが判明したという。Microsoftは「この問題を非常に重く受け止めており、SOCRadarが数字を誇張したことに失望している」と述べている。
さらに重要な問題として、MicrosoftはSOCRadarが検索ツールBlueBleedを公開したことについて次にように指摘する。「このようなツールを公開することで、顧客のプライバシーやセキュリティをリスクにさらす危険性がある」
Computer Weekly発 世界に学ぶIT導入・活用術
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.