Microsoft 研究者、GitHub 上のストレージの構成ミスにより 38TB の機密データを漏洩

AI プロジェクトには大規模なデータセットが関係しており、チーム間でデータが共有されるため、偶発的な漏洩がより一般的になります。最近、Microsoft がクラウド ストレージのアクセス設定を誤ったために、誤って「数十テラバイト」の内部機密データをオンラインに公開したと報告されました。

クラウド セキュリティ企業 Wiz は、Microsoft AI 研究者が使用する GitHub リポジトリからリンクされた Azure ストレージ コンテナーに、過度に寛容な Shared Access Signature (SAS) トークンが割り当てられていることを発見しました。これにより、ストレージ URL にアクセスした人は誰でも、ストレージ アカウント全体のすべてのデータを完全に制御できるようになりました。

馴染みのない方のために説明すると、 Azure Storageは、データをファイル、ディスク、BLOB、キュー、またはテーブルとして保存できるサービスです。流出したデータには、パスワード、秘密キー、および 30,000 件を超える Microsoft Teams の内部メッセージを含む 2 人の Microsoft 従業員の個人バックアップを含む、38 テラバイトのファイルが含まれていました。

設定ミスのため、データは2020年からアクセス可能になっていた。Wiz は 6 月 22 日にこの問題を Microsoft に通知し、同社は 2 日後に SAS トークンを取り消しました。

調査の結果、顧客データは関与していなかったことが判明した。ただし、この暴露により、悪意のある攻撃者が長期間にわたってファイルを削除、変更、または Microsoft のシステムや内部サービスに挿入することが可能になった可能性があります。

Microsoft はブログ投稿でこう書いています。

この問題により顧客データが漏洩することはなく、他の内部サービスが危険にさらされることもありませんでした。この問題に対するお客様の対応は必要ありません。調査の結果、この問題によるお客様へのリスクはないと結論付けられました。

Wiz の調査結果に応じて、Microsoft はGitHub のシークレット スキャン サービスを強化しました。Microsoftのセキュリティレスポンスセンターは今後、資格情報やその他の機密情報が平文で公開されるような公開オープンソースコードの変更をすべて監視すると発表した。

TechCrunchとのインタビューで、Wizの共同創設者Ami Luttwak氏は次のように述べた。

AI はテクノロジー企業に大きな可能性をもたらします。しかし、データ サイエンティストやエンジニアが新しい AI ソリューションを本番環境に導入しようと競う中、彼らが扱う大量のデータには追加のセキュリティ チェックと保護手段が必要になります。

多くの開発チームが大量のデータを操作したり、同僚と共有したり、公開オープンソース プロジェクトで共同作業したりする必要があるため、Microsoft のようなケースを監視し回避することはますます困難になっています。

出典: Microsoft のセキュリティ レスポンス センター( TechCrunch経由)