マイクロソフト Azureの全世界のユーザーにデータ侵害の影響

マイクロソフト社は、同社のAzure Cosmos DBクラウドシステムにおけるセキュリティ侵害が、Fortune 500企業を含む多くの顧客に影響を与える可能性があることを認めました。

クラウドインフラストラクチャのセキュリティ企業Wiz は、現在は修正されているAzure Cosmosデータベースの脆弱性の詳細を明らかにしました。この脆弱性が悪用されると、他の顧客のデータベースインスタンスに対して権限なしに完全な管理者権限を Azureユーザーが付与されてしまう可能性がありました。

Cosmos DBは、マイクロソフトが独自に開発したNoSQLデータベースで、「自動管理、更新、パッチ適用により、データベース管理の負担を軽減する」という「フルマネージドサービス」として宣伝されています。

報道によるとマイクロソフト社は、Wizグループから「好きな制御キーにアクセスでき、ハッカーがデータを読み取ったり、編集したり、削除したりできるようになった」と説明され、4万ドルを支払ったといいます。

この欠陥は読み取り、書き込み、削除の権限を付与するもので、「ChaosDB」と呼ばれています。Wizのリサーチャーは、この脆弱性にはターゲット環境への事前のアクセスを必要としない些細な悪用法があり、多数のFortune 500企業を含む数千の顧客に影響を与えていると指摘しています。

マイクロソフトは声明の中で、このように述べています。「リサーチャー以外の外部組織が、お客様のAzure Cosmos DBアカウントに関連する主要なread-writeキーにアクセスした形跡はありません。」

「またこの脆弱性が原因でデータにアクセスされたという事実もありません。vNETまたはファイアウォールが有効なAzure Cosmos DBアカウントは、不正アクセスのリスクを防ぐ追加のセキュリティメカニズムで保護されています。」

マイクロソフト自身は、セキュリティキーを変更することはできずユーザー自身で変更するよう求めています。またこの欠陥によるリスクを軽減するために、Cosmos DB プライマリーキーを再生成するようにユーザーに呼びかけています。

同社はCosmos DBの顧客の30％以上にセキュリティ侵害の可能性を通知しましたが、この脆弱性が数ヶ月前から悪用されていることを考えると、実際の数はもっと多いだろうとWizは予想しています。

「Cosmos DBのユーザーは、脆弱性が発見されたとお考えください。またCosmos DBアカウントにおける過去のすべてのアクティビティを確認することをお勧めします」とWizの研究者は述べています。

W.Media (Venkatesh G記者）より抄訳・転載