メディア

Microsoftのデータ消失事件、事の真相とユーザーへの影響

Microsoftがユーザーに関するある重要データを失った。ユーザーにはどのような影響があるのだろうか。

» 2024年11月26日 07時00分 公開
[David JonesCybersecurity Dive]
Cybersecurity Dive

 Microsoftは同社のユーザーに関する2週間分のデータを失ったと発表した。セキュリティに関するデータだ。ユーザーはどのような影響を被るのだろうか。

Microsoftのデータ消失事件、ユーザーへの影響は?

 失ったデータは「Microsoft Entra」や「Microsoft Sentinel」「Microsoft Purview」「Microsoft Defender for Cloud」を含むMicrosoftの複数のプラットフォームにまたがる。

 Microsoftが失ったのは、2週間分以上のセキュリティログデータだ。ただし、全て失われたのではなく、一部だという。問題が起きたのは2024年9月であり、現在対応中だ。

 Microsoftのジョン・シーハン氏(コーポレートバイスプレジデント)は次のように述べた。

 「当社はサービスの変更をロールバックすることで問題を軽減した。影響を受けた全てのユーザーと連絡を取り、必要に応じてサポートを提供する」

 Microsoftは「この問題はセキュリティの問題や侵害とは関係ない」と述べた。このエラーにより特定のサービスのログデータが「部分的に不完全」になったが、影響を受けた期間は限定的だったという。

なぜ失われたのか

 それではなぜセキュリティログが失われたのだろうか。不幸中の幸いにも原因は外部の攻撃者によるものではなく、Microsoftが社内で運用するモニタリングエージェントにバグがあったためだという。

なぜサイバーセキュリティログが重要なのか

 Microsoftは2024年9月2〜19日にサイバーセキュリティログの一部を失ったものの、原因はサイバー攻撃ではないという。それならば、ユーザーには関係がないのだろうか。

 そうではない。なぜなら、ユーザーの環境での不審な動きをつかんだり、攻撃の前兆を検出したりするにはセキュリティログが欠かせないからだ。

 セキュリティログには、例えばあるアカウントについて、いつどの従業員がどのIPアドレスでサインインしたのかが記録されている。

 その従業員が当日国内で仕事をしていたのにIPアドレスが海外のものだった場合、これは危険信号だ。権限のない第三者が認証情報を不正に得ていて、サイバー攻撃を準備したり、すでに着手していたりする可能性がある。このようにセキュリティログは攻撃を予防したり、サイバー攻撃後に検証を進めたりするために必要な重要なデータだと言える。

 今回Microsoftが失ったデータは同社のセキュリティ関連サービスの中核部に広がっている。Microsoft EntraはIDとアクセス管理のためのサービスで、ゼロトラストセキュリティの実装にも役立つ。Microsoft SentinelはSIEM(Security Information and Event Management)ソリューションでセキュリティ機器のログデータを収集してリアルタイムで脅威を検出、通知する。Microsoft Purviewはデータガバナンスと管理のためのソリューションで、Microsoft Defender for Cloudはクラウド環境の教委保護やハイブリッド環境のセキュリティ状況を可視化できるソリューションだ。

 つまり、Microsoftのソリューションを組み合わせて利用しているユーザーには影響が大きいだろう。(キーマンズネット編集部)


 セキュリティログが消失したことと、これについてユーザーへ通知する方針だということを2024年10月5日(現地時間)に最初に報じたのは、ニュースWebサイトの「Business Insider」だ(注1)。これに先んじてMicrosoft MVPのジョアン・フェレイラ氏は、インシデント発生後にMicrosoftが投稿したセキュリティログの問題に関するレビューを再投稿した(注2)。

 セキュリティ研究者のケビン・ビューモント氏は「ソーシャルメディアのMastodonへの投稿で、データを失ったMicrosoftのユーザーを2人確認したが、Microsoftからの通知は受けていないようだ」と述べた(注3)。

Microsoftの失敗再び

 国家に関連する攻撃者が2023年に「Microsoft Exchange Online」を攻撃したことを受けて、Microsoftは強い非難を浴びた。その後、同社はセキュリティログに関するサポートを無料で提供するようになった(注4)。当時のインシデントにより、商務長官のジーナ・ライモンド氏もハッキングを受け、米国国務省から6万通以上の電子メールが盗まれた。

 この攻撃は「Storm-0558」と呼ばれる国家に関連した脅威グループによるものとされている。連邦政府の関係者がログを確認し、Microsoftに通知したことでインシデントが発覚した。

 Microsoftは、セキュリティ文化と内部慣行の全面的な見直しを行う取り組みとして「Secure Future Initiative」を発表したが、それ以前に、Microsoft Purviewで保持しているセキュリティログに対するアクセス権を拡大した(注5)。

 サイバー安全審査会(CSRB)は(注6)、2023年に発生したExchange Onlineに対するキャンペーンはMicrosoftの対応により予防可能なものだったと非難した。このことが同社内におけるセキュリティガバナンスのさらなる変更につながった(注7)。

© Industry Dive. All rights reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。