Microsoftは「Azure」をサイバー攻撃から守れているのか

Microsoft AzureがDDoS攻撃に遭い、サービスが停止した。Microsoftはうまく攻撃に対応できたのだろうか。

[David Jones，Cybersecurity Dive]

　2024年7月30日、「Microsoft Azure」がDDoS攻撃を受けた。Microsoftによると、「Azureポータル」や「Microsoft 365」「Microsoft Purview」などの一部のサービスが8時間にわたって停止した（注1）。

Microsoftは対応を誤ったのか

　DDoS攻撃への対応をMicrosoftの担当者が事後に分析したところ、必ずしも最善の対策ではなかったことが分かった。

　Microsoftによると、予期せぬ使用量の急増により、「Azure Front Door」と「Azure Content Delivery Network」で断続的なエラーやスパイク、タイムアウトが発生したという。初期調査の結果、同社のセキュリティ対応の誤りが障害の影響をさらに大きくした可能性があることが明らかになった。

　Microsoftは事件直後に「今回のインシデントについて72時間以内に予備レビューを実施し、2週間以内に最終レビューを終えて、問題が何だったのか、また今後どのように対応を改善できるかを検討する予定だ」と述べた。

　このインシデントはタイミングも悪かった。CrowdStrikeが自社のセキュリティプラットフォーム「Falcon」において欠陥のあるソフトウェアアップデートを展開した際に（注2）、850万台のWindowsデバイスが巻き込まれた世界的なIT障害から2週間もたたないうちに発生したからだ。

どのような対応を取ったのか

　MicrosoftはDDoS攻撃の直後に、ネットワークの設定を変更することで対応した。また、代替ネットワーク経路へのフェイルオーバーも実行した。

　Microsoftによると、最初のネットワーク設定変更により、障害発生から約3時間後（米国東部標準時間の午前10時過ぎ）には、影響の大部分が緩和されたという。その後、一部の顧客から「可用性が100％未満だ」という報告があり、同社は、最初にアジア太平洋地域で、次に欧州でアップデートを実施した。対策の成功を確認した後、この変更を米国に展開した。

　障害発生率は午後までに事件発生前のレベルに改善され、東部標準時間の午後5時前にインシデントを解決した宣言した。障害発生から9時間後のことだった。

　サイバーセキュリティ事業を営むNexusGuardのドニー・チョン氏（ディレクター）は「Microsoftの障害は、DDoSの攻撃者がいかに容易に重要なビジネスサービスに混乱をもたらすことができるかを示した」と述べた。

　なお、MicrosoftがDDoS攻撃に関連する混乱に対処したのは今回が初めてではない。Microsoftは2023年に「Anonymous Sudan」として知られるグループを含むロシア派のハクティビストによる一連のDDoS攻撃の標的となった（注3）。

出典：Microsoft confirms Azure, 365 outage linked to DDoS attack（Cybersecurity Dive）
注1：Azure status history（Microsoft Azure）
注2：CrowdStrike CEO says 97% of Windows sensors restored in IT outage recovery effort（Cybersecurity Dive）
注3：Microsoft confirms DDoS attacks caused Azure, OneDrive outages（Cybersecurity Dive）