事故から学ぶ

米マイクロソフト、クラウドのデータベースに脆弱性 数千社に通知

事故概要

業種 【情報】
発生時期 【情報】
漏えい人数 【情報】
事故概要

【情報】
米マイクロソフトは26日、同社のクラウドサービスを使う数千社に対し、データベースにアクセスされて書き換えられたり削除される恐れがあると通知した。ロイターが確認したマイクロソフトの電子メールとセキュリティー会社の報告で明らかになった。

脆弱性が見つかったのは、クラウドサービス「アジュール」上で提供されている旗艦データベース「Cosmos DB」。セキュリティー会社ウィズの研究チームは、データベースを管理するキーにアクセスできることを発見した。

マイクロソフトにはこのキーを変更する権限がないため、26日に顧客に対して新しいキーを作成するようメールで伝えた。マイクロソフトがウィズに宛てたメールによると、この脆弱性を発見したウィズに対して同社は4万ドルを支払うことで同意した。

ロイターはマイクロソフトにコメントを求めたが、現時点で回答できるものはないとした。

マイクロソフトが顧客に送ったメールによると、この脆弱性は既に修復されており、悪用された形跡はない。同社はメールで、ウィズの研究者以外に外部組織がこのデータベースの読み書き用キーにアクセスした形跡はないと説明している。

ウィズのアミ・ルトワク最高技術責任者(CTO)は、クラウドにおいて想像できる最悪の脆弱性だと指摘した。同氏によると、ウィズの研究チームはこの脆弱性を8月9日に発見し、12日にマイクロソフトに報告した。

引用元 【情報】

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

【情報】

チェックリストにある要求ルール:

【情報】

■ 推奨対策

対策:

【情報】

具体例:

【情報】

タグ

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。