著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。
2020年1月下旬のトラブルを3件取り上げる。取り上げるのは、米マイクロソフト(Microsoft)の顧客情報流出と、自治会連合会のWebサイトへの不正アクセス、千葉大学のスパムメール配信被害である。
インターネットの検索サービスに登録されて発覚(1月22日)
マイクロソフトは、顧客情報を誰でも閲覧できる状態にしていたとして謝罪した。顧客情報を収めた自社内用のデータベースが、パスワードなどの認証を経なくても接続可能だったという。
マイクロソフトは、ネットワークセキュリティーの設定を2019年12月5日に誤って変更したことでこの問題が生じたとしている。その後、インターネット上の公開ポートなどを検索できるサービス(BinaryEdge)に同社のデータベースが登録された。これにセキュリティー専門家のボブ・ディアチェンコ(Bob Diachenko)氏が気づいて、同社に連絡した。連絡を受けて12月31日までに対処したとする。
ディアチェンコ氏が公開したリポートによれば、対象のデータベースは全文検索ソフト「Elasticsearch」で利用していた。データベースには顧客のメールアドレスやサポートログなど2億5000万件の情報が含まれていたという。一方マイクロソフトは、流出した情報が悪用された事実は確認されておらず、またほとんどが個人を特定できる情報でなかったと説明している。
Elasticsearchの設定ミスによる誤った情報公開は世界中で相次いでいる。2019年11月にも、12億件もの個人情報が閲覧できる状態になったElasticsearchのデータベースが見つかっている。
マイクロソフトは謝罪の中で、この設定ミスを「残念ながら業界でよくあるミス」と説明している。今回のトラブルから得た教訓として、定期的な検査が重要だとした。具体的な対策として、誤設定を検出する方法を見直す、検出したときの通知を強化するなどを挙げている。
https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/
この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!
日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら
