研究者が警告する「前例のない」Microsoft Azureデータベースの脆弱性が数千人の顧客に影響を与える
トッド・ビショップ著
Microsoft AzureのCosmos DBに存在する一連の欠陥により、同社の法人顧客数千社のアカウントとデータベースが「完全かつ無制限のアクセス」にさらされたと、セキュリティ企業Wizの研究者らが同社に問題を通知してから2週間後の木曜日に報告した。
ロイター通信の報道によると、マイクロソフトは木曜日に電子メールで顧客にこの問題について警告し、新しいデータベースアクセスキーを作成するよう勧告した。また、この脆弱性が悪用された証拠は見つかっていないと述べた。同社は声明で、研究者らが責任ある情報開示を実施したことを高く評価した。
これは、今年初めに注目を集めたExchange Serverへのハッキングや、先週米国政府が警告を発したハッキングなど、Microsoftテクノロジーにおける一連のセキュリティ問題の最新のものです。これらの問題は、ソフトウェアの脆弱性の対策がサイバーセキュリティ向上の鍵の一つであることを示している。
マイクロソフトのCEOサティア・ナデラ氏は今週、ジョー・バイデン大統領とともにホワイトハウスのサイバーセキュリティサミットに参加したIT企業幹部の一人であり、今後5年間でサイバーセキュリティへの支出を4倍にすることを約束した。
この欠陥を「ChaosDB」と名付けたWizのセキュリティ研究者、ニール・オーフェルド氏とサギ・ツァディク氏は、マイクロソフトが通知から48時間以内に脆弱な機能を無効にする迅速な措置を講じたことを高く評価したが、「プライマリアクセスキーが漏洩した可能性があるため、顧客は依然として影響を受ける可能性がある」と警告した。
「近年、多くの企業がクラウドに移行するにつれ、データベースの脆弱性が驚くほど蔓延しており、その原因は通常、顧客環境の設定ミスです。今回のケースでは、顧客に過失はありませんでした」と彼らは述べています。「むしろ、Cosmos DBの機能に複数の欠陥があり、あらゆるユーザーが膨大な商用データベースをダウンロード、削除、または操作できる抜け穴が生まれ、Cosmos DBの基盤となるアーキテクチャへの読み取り/書き込みアクセスも可能になりました。」
マイクロソフトはロイター通信への声明で、「顧客の安全を守るため、この問題を直ちに修正した」と述べた。
