SOCRaderが主張するデータ漏えいの範囲(出典:SOCRader)
米国のITセキュリティ企業SOCRaderとMicrosoftは19日(現地時間)、クラウドサービスの構成ミスによって、商取引データへの認証されていないアクセスが一時的に可能になっていたことに関する調査結果を公開した。
SOCRaderが19日に公開した声明によれば、さる9月24日、同社のネットワーク監視が6つの不適切に構成されたサーバー(パブリックバケット)を検出し、この中には111カ国、6万5,000を超える企業の機密情報が含まれていたという。SOCRaderは今回のデータ漏えいを「BlueBleed」と名付けて調査を開始し、当該サーバー所有者のMicrosoftに通知。その結果、今回のデータ漏えいはAzure Blob Storageサーバーの構成ミスによって起きたことが明らかになった。
漏えいしたデータには33万5,000以上の電子メール、13万3,000件のプロジェクトファイル、54万8,000人分のユーザー情報が含まれるほか、実行証明(Proof of Execution)ドキュメント、作業指示書(Statement of Work)、請求/注文情報、PoC(概念実証)文書、価格表、顧客資産ドキュメントなど事業詳細と、個人を特定できる情報(Personally Identifiable Information、PII)や知的財産に関する文書も含まれていたとしている。
Microsoft Security Response Center(MSRC)はこの通知を受けて対応を行ない、数時間以内に適切な構成を復旧した。同社の調査では、今回のデータ漏えいは意図しない構成ミスによって起きたもので、脆弱性によるものではないことが報告された。また、このミスによって顧客のアカウントやシステムが不正アクセスを受けた形跡はないとしている。影響を受けた企業には報告済みという。
MSRCによる19日の声明では「SOCRaderが構成ミスについて知らせてくれたことには感謝している」と謝意を示した一方で、「SOCRaderは漏えいしたデータの範囲を大きく誇張している」とも指摘しており、「この問題に関係する数字を誇張していたことに失望している」と述べている。
SOCRaderではBlueBleedによって自社の情報が漏えいしているかどうかをドメインの入力によって検索/確認できるツールを提供している。このツールは自分のデータがBlueBleedによって漏えいしたかどうかを確認したい人に向けたもので、任意のドメインを入力すると検索結果として「DETECTED」もしくは「NOT DETECTED」と表示するだけの簡易なものだが、MSRCはこれについても「顧客を潜在的に不要なリスクにさらす行為」として検索ツールの撤去を要請している。
SOCRaderはこの要請を受け、検索のBlueBleed関連クエリを一時的に中断しているが、ツール自体は簡易な結果だけを表示するだけであり、またパブリックバケットから検出されたデータはSOCRaderのデータベース上に存在しないことから、MSRCが主張するような不要なリスクはないとの考えを明らかにした。また同時に、MSRCのコメントと主張に失望していると表明している。
漏えいしたデータの大まかな内訳(出典:SOCRader)
🔦 SOCRadar’s mission is to use every possible piece of information to identify and prevent cyber threats targeting our platform users.
👇 We hope that the explanations will make the incident and our intentions clearer. 👇https://t.co/oNAHk7AA7i— SOCRadar® (@socradar)October 20, 2022
コメント