何が起こったのか？

2019年12月、サーバーの構成ミスにより2日間にわたってマイクロソフトの2億5,000万件以上のカスタマーサービスとサポートのレコードが外部に公開されていました。これらのレコードは認証手段で保護されていなかったため、インターネット接続とブラウザさえあれば、誰でもデータにアクセスできたのです。

12月29日Comparitechのセキュリティ研究者Bob Diachenko氏と彼のチームは、2億5千万件の同じレコードセットが5台のElasticsearchサーバーに保存されていることを発見しました。Bob Diachenko氏らはすぐにマイクロソフトに通知し、マイクロソフトは通知を受けた2日以内にデータを保護し、問題の調査を開始しました。

調査後、このインシデントについてすぐに謝罪し、情報が漏えいしたサーバーでは悪用された痕跡が見つかっていないことをユーザーに保証しています。Windowsの深刻な脆弱性とInternet Explorerのゼロデイ欠陥は最近ニュースになったばかりです。

公開されていたデータとは？

レコードには、2005年から2019年までの14年間にわたるマイクロソフトのカスタマーサポートと顧客との間のやり取りのログが含まれていました。

支払情報などの個人を特定できる機密情報のほとんどは保護されていましたが、通常のテキスト形式で残っているレコードも多く存在していました。テキスト形式のレコードには、「機密」と記されたIPアドレス、場所、および社内用メモ、顧客の電子メールアドレス、カスタマーサービスサポートの申し立てとケースの説明、Microsoftサポートエージェントの電子メールアドレス、ケース番号、解決策、およびコメントが含まれていました。

問題の原因

調査の結果、データベースのネットワークセキュリティグループを変更したことが原因であることがわかり、セキュリティルールの構成に誤りが含まれていたことが判明しました。

このような構成ミスはめったに発生しませんが、最近、ESETでは出生証明の申請書が誤って公開された情報漏えいの問題についても報告しています。実際、マイクロソフトは顧客に向けたブログで次のように表明しています。「残念ながら、サーバーの構成ミスはこの業界全体で多く発生するエラーです。このようなミスを防ぐための解決策はありますが、残念ながら、問題が発生したデータベースでは有効になっていませんでした。今回の問題を教訓として、定期的に自社の構成を確認し、利用可能なすべての保護機能を活用していることを今一度確認いたします。」

数か月前のElasticsearchサーバーの構成ミスに端を発した別のデータ漏えいのインシデントでは、エクアドルのほぼすべてのユーザーに影響を及ぼす大規模なものでした。大規模な個人情報漏洩はもはや珍しいことではありません。サーバーの構成、権限の設定について常々細心の注意を払い、万全を期して構築を実施する必要があります。こういったインシデントは皆さんにとっても「対岸の火事」ではないのです。