Wizは9月18日(米国時間)、「38TB of data accidentally exposed by Microsoft AI researchers |Wiz Blog」において、MicrosoftのAI研究者が38テラバイトのデータを誤って公開したと報じた。MicrosoftのAI GitHubリポジトリにおいて秘密鍵やパスワード、30,000を超えるMicrosoft内部のTeamsメッセージを含む大量のデータが漏えいした可能性がある。

  • 38TB of data accidentally exposed by Microsoft AI researchers |Wiz Blog

    38TB of data accidentally exposed by Microsoft AI researchers |Wiz Blog

Wiz Researchチームはクラウド上のデータの偶発的な公開に関する継続的な調査の一環として、誤って構成されたストレージコンテナをスキャンしていたという。その過程でrobust-models-transferという名称のGitHubリポジトリを見つけ調査を実施。

このリポジトリはMicrosoft AI研究部門に属し、画像認識のためのオープンソースのコードとAIモデルを提供しており、AzureストレージのURLからAIモデルをダウンロードすることができた。Wizの調査によると、このAzureストレージへのアクセス許可がAIモデルだけではなくアカウント全体に許可されており、個人データも公開された状態だったという。

WizはAIモデル以外に38テラバイトの追加データを発見し、その中にMicrosoft社員の個人用コンピュータのバックアップを見つけている。このバックアップにはMicrosoftサービスのパスワード、秘密鍵、359人のMicrosoft社員による3万件以上のMicrosoft Teamsの内部メッセージなど機密性の高い情報が含まれていたとしている。

  • Azureストレージで公開されていたコンテナ - 提供: Wiz

    Azureストレージで公開されていたコンテナ 引用:Wiz

この件について、MicrosoftはBlogにて詳細を報告している(「Microsoft mitigated exposure of internal information in a storage account due to overly-permissive SAS token | MSRC Blog | Microsoft Security Response Center」)。報告によると、内部ストレージアカウントに対して過度に寛容な共有アクセス署名(SAS)が含まれており、これによりストレージアカウント内の情報にアクセスができたという。漏えいした可能性のあるデータに顧客情報は含まれておらず、また内部サービスが危険にさらされることもなかったとしている。Microsoftの調査では、顧客へのリスクはないと結論付けている。

Wizは今回漏えいの要因となった共有アクセス署名(SAS)について、SASトークンはセキュリティ上のリスクをもたらすため、その使用は可能な限り制限する必要があるとしている。また、SASトークンは有効期限の上限なしで永久に持続するよう構成できるため、外部共有にSASトークンを使用することは避けるよう推奨している。

今回の例のように企業が外部との接触を伴う開発を行う場合、開発チームのプロセスを可視化してセキュリティチームからチェックできるようにすることは重要。このような体制が取られていれば、同様のインシデントは未然に防止、または大幅に軽減できた可能性がある。