Microsoftのクラウド用オブジェクトストレージサービスであるAzure Blob Storageの構成に設定ミスが存在し、合計2.4TBに及ぶMicrosoftの顧客の機密データが公開状態となっていたことが判明しました。問題を発見したセキュリティ企業のSOCRadarによると、公開されていたデータにはユーザー情報や業務に関するファイルが含まれており、111カ国の6万5000もの企業が影響を受けたとのことです。

Sensitive Data of 65,000+ Entities in 111 Countries Leaked due to a Single Misconfigured Data Bucket
https://socradar.io/sensitive-data-of-65000-entities-in-111-countries-leaked-due-to-a-single-misconfigured-data-bucket/

Investigation Regarding Misconfigured Microsoft Storage Location – Microsoft Security Response Center
https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/

Microsoft data breach exposes customers’ contact info, emails
https://www.bleepingcomputer.com/news/security/microsoft-data-breach-exposes-customers-contact-info-emails/

Microsoft leaked 2.4TB of data belonging to sensitive customer. Critics are furious | Ars Technica
https://arstechnica.com/information-technology/2022/10/microsoft-under-fire-for-response-to-leak-of-2-4tb-of-sensitive-customer-data/

ウェブ上のデータ漏えいを継続的に監視していたSOCRadarは、2022年9月24日にAzure Blob Storageの構成ミスを検出し、誤って公開されたバケットに機密データが含まれていることを発見しました。この問題は「BlueBleed」と名付けられており、公開バケットに含まれる機密データは2.4TBという膨大な量だったとのこと。

機密データはMicrosoftおよび111カ国の6万5000もの企業に関連しており、33万5000件以上の電子メール、13万3000件のプロジェクト、54万8000人のユーザー情報が公開されていたとSOCRadarは述べています。誤って公開された機密データには、他にも製品の注文書・請求書・プロジェクトの詳細・知的財産に関する文書・パートナーへの内部評価といったものが含まれていたそうです。

SOCRadarの発見について、Microsoft Security Response Center(MSRC)も声明を発表し、「2022年9月24日、SOCRadarはMicrosoftに対してエンドポイント構成が間違っていることを通知しました。この設定ミスにより、Microsoftと潜在顧客の間でやりとりされたMicrosoftサービスの計画や実装など、一部のビジネストランザクションデータへの認証されていないアクセスが発生する可能性がありました。構成ミスが通知されるとエンドポイントはすぐに保護され、必要な認証でのみアクセスできるようになりました。私たちの調査では、顧客のアカウントやシステムが侵害された兆候は見つかりませんでした」と報告しました。SOCRadarも、Microsoftは通知から数時間以内にバケットを非公開にするよう再構成し、データ流出のリスクを軽減することに成功したと述べています。

Microsoftによると、今回の問題は意図しない構成ミスによるものであり、システムに脆弱(ぜいじゃく)性が存在するというわけではないとのこと。Microsoftはこの種の構成ミスを防止するプロセスの改善に取り組んでおり、Microsoftの全エンドポイントのセキュリティを調査・保証するために追加のデューディリジェンスを実行しているとのことです。

構成ミスがあったことを認める一方で、公開バケットの電子メールやプロジェクト、ユーザーデータには重複が存在しており、「SOCRadarは問題の範囲を大幅に誇張していました」とMicrosoftは反論しました。また、SOCRadarが今回の構成ミスに関するデータ漏えいをチェックできる「BlueBleed」というツールを公開したことについても、「顧客のプライバシーやセキュリティ確保に最善とは言えず、顧客を不必要なリスクにさらす可能性がある『検索ツール』を公開したことに失望しています」と非難しています。

これに対しSOCRadarは、BlueBleedでは一部データを検索エンジンがクロールしたものの、データはすべてシステムから削除されていると主張。SOCRadarのリサーチ担当ヴァイスプレジデントであるEnsar Şeker氏は、「このクエリページでは、企業は公開バケットでデータが公開されているかどうかを匿名で確認できます」「私たちは漏えいしたデータをまったく保持していません。世界的なサイバー災害を防ごうと協力および支援をしてきたにもかかわらず、MSRCがこのようなコメントおよび非難をしてきたことにとても失望しています」とテクノロジー系メディアのBleepeng Conputerに述べました。

また、Microsoftが影響を受けた顧客に対する通知をMicrosoft365メッセージセンター経由で行ったことや、影響を受けた顧客からの問い合わせに「この問題から影響を受ける特定のデータを提供できません」と回答したことについても、セキュリティ研究者から非難の声が上がっています。