Microsoftは同社のユーザーに関する2週間分のデータを失ったと発表した。セキュリティに関するデータだ。ユーザーはどのような影響を被るのだろうか。
Microsoftのデータ消失事件、ユーザーへの影響は?
失ったデータは「Microsoft Entra」や「Microsoft Sentinel」「Microsoft Purview」「Microsoft Defender for Cloud」を含むMicrosoftの複数のプラットフォームにまたがる。
Microsoftが失ったのは、2週間分以上のセキュリティログデータだ。ただし、全て失われたのではなく、一部だという。問題が起きたのは2024年9月であり、現在対応中だ。
Microsoftのジョン・シーハン氏(コーポレートバイスプレジデント)は次のように述べた。
「当社はサービスの変更をロールバックすることで問題を軽減した。影響を受けた全てのユーザーと連絡を取り、必要に応じてサポートを提供する」
Microsoftは「この問題はセキュリティの問題や侵害とは関係ない」と述べた。このエラーにより特定のサービスのログデータが「部分的に不完全」になったが、影響を受けた期間は限定的だったという。
なぜ失われたのか
それではなぜセキュリティログが失われたのだろうか。不幸中の幸いにも原因は外部の攻撃者によるものではなく、Microsoftが社内で運用するモニタリングエージェントにバグがあったためだという。
なぜサイバーセキュリティログが重要なのか
Microsoftは2024年9月2〜19日にサイバーセキュリティログの一部を失ったものの、原因はサイバー攻撃ではないという。それならば、ユーザーには関係がないのだろうか。
そうではない。なぜなら、ユーザーの環境での不審な動きをつかんだり、攻撃の前兆を検出したりするにはセキュリティログが欠かせないからだ。
セキュリティログには、例えばあるアカウントについて、いつどの従業員がどのIPアドレスでサインインしたのかが記録されている。
その従業員が当日国内で仕事をしていたのにIPアドレスが海外のものだった場合、これは危険信号だ。権限のない第三者が認証情報を不正に得ていて、サイバー攻撃を準備したり、すでに着手していたりする可能性がある。このようにセキュリティログは攻撃を予防したり、サイバー攻撃後に検証を進めたりするために必要な重要なデータだと言える。
今回Microsoftが失ったデータは同社のセキュリティ関連サービスの中核部に広がっている。Microsoft EntraはIDとアクセス管理のためのサービスで、ゼロトラストセキュリティの実装にも役立つ。Microsoft SentinelはSIEM(Security Information and Event Management)ソリューションでセキュリティ機器のログデータを収集してリアルタイムで脅威を検出、通知する。Microsoft Purviewはデータガバナンスと管理のためのソリューションで、Microsoft Defender for Cloudはクラウド環境の教委保護やハイブリッド環境のセキュリティ状況を可視化できるソリューションだ。
つまり、Microsoftのソリューションを組み合わせて利用しているユーザーには影響が大きいだろう。(キーマンズネット編集部)
セキュリティログが消失したことと、これについてユーザーへ通知する方針だということを2024年10月5日(現地時間)に最初に報じたのは、ニュースWebサイトの「Business Insider」だ(注1)。これに先んじてMicrosoft MVPのジョアン・フェレイラ氏は、インシデント発生後にMicrosoftが投稿したセキュリティログの問題に関するレビューを再投稿した(注2)。
セキュリティ研究者のケビン・ビューモント氏は「ソーシャルメディアのMastodonへの投稿で、データを失ったMicrosoftのユーザーを2人確認したが、Microsoftからの通知は受けていないようだ」と述べた(注3)。
Microsoftの失敗再び
国家に関連する攻撃者が2023年に「Microsoft Exchange Online」を攻撃したことを受けて、Microsoftは強い非難を浴びた。その後、同社はセキュリティログに関するサポートを無料で提供するようになった(注4)。当時のインシデントにより、商務長官のジーナ・ライモンド氏もハッキングを受け、米国国務省から6万通以上の電子メールが盗まれた。
この攻撃は「Storm-0558」と呼ばれる国家に関連した脅威グループによるものとされている。連邦政府の関係者がログを確認し、Microsoftに通知したことでインシデントが発覚した。
Microsoftは、セキュリティ文化と内部慣行の全面的な見直しを行う取り組みとして「Secure Future Initiative」を発表したが、それ以前に、Microsoft Purviewで保持しているセキュリティログに対するアクセス権を拡大した(注5)。
サイバー安全審査会(CSRB)は(注6)、2023年に発生したExchange Onlineに対するキャンペーンはMicrosoftの対応により予防可能なものだったと非難した。このことが同社内におけるセキュリティガバナンスのさらなる変更につながった(注7)。
出典:Microsoft confirms partial loss of security log data on multiple platforms(Cybersecurity Dive)
注1:Microsoft tells customers it lost log data for key security products(Business Insider)
注2:Multiple Services: Partially incomplete log data due to monitoring agent issue(M365 Admin)
注3:Kevin Beaumont(Mastodon)
注4:Microsoft offers free security logs amid backlash from State Department hack(Cybersecurity Dive)
注5:Microsoft extends security log retention following State Department hacks(Cybersecurity Dive)
注6:Microsoft Exchange state-linked hack entirely preventable, cyber review board finds(Cybersecurity Dive)
注7:Microsoft names deputy CISOs, flushes dead accounts as part of internal security overhaul(Cybersecurity Dive)
© Industry Dive. All rights reserved.
関連記事
Microsoftが大失敗 サイバー攻撃にうまく対応できない
Microsoftは同一の犯罪グループによる継続的な攻撃を受け続けており、効果的に対応できていない。Microsoftに何が起こっているのだろうか。
MicrosoftのセキュリティがGoogleやAppleに劣ると言われた理由
Microsoftの評判がすこぶる悪い。サイバーセキュリティに力を入れていなかったためだ。同社は今後、どのように動くのだろうか。
脅威インテリジェンスを軽視していたMicrosoftの開発者 攻撃されても仕方ない実態
サイバー攻撃は対抗できないような巨大な力ではない。なぜなら犯罪者が自分たちの目的を達成するために動いた結果だからだ。これを忘れるサイバー攻撃にうまく対応できなくなる。