2023年9月18日 - テクノロジー業界が注目する中、マイクロソフトは公開されたGitHubリポジトリでのオープンソースAI学習モデルへの貢献中に、緩すぎるShared Access Signature (SAS) トークンを含むURLを誤って共有したことを公表しました。このミスにより、同社の内部ストレージアカウント内の情報が外部からアクセス可能となってしまい、セキュリティ専門家の間で大きな議論が巻き起こっています。
この問題を最初に発見したのは、セキュリティ専門家のグループ、Wiz。彼らはこの脆弱性をマイクロソフトに報告し、同社はこの問題を迅速に対応。該当のSASトークンを無効化し、ストレージアカウントへの外部からのアクセスを完全に遮断しました。この迅速な対応により、さらなる情報の漏洩を防ぐことができました。
漏れた情報には、2人の元従業員のワークステーションプロファイルのバックアップや、Microsoft Teamsの内部メッセージが含まれていました。しかし、幸いにも顧客データや他の重要な情報の漏れは確認されていません。この事件は、クラウドストレージやオンラインサービスのセキュリティが今後も業界の大きな課題として残ることを示しています。
マイクロソフトは、今回の事件を受けて、SASトークンの使用に関するベストプラクティスを見直し、顧客に提供することを発表しました。同社は、今後もSASトークンの機能を強化し、サービスの安全性を最初から確保する姿勢を維持していくとのことです。また、セキュリティ研究者との連携をさらに深め、共同でセキュリティの向上に努めるとコメントしています。
この事件を受け、セキュリティ研究者と企業との連携の重要性が再び浮き彫りとなりました。マイクロソフトは、今後も研究者との連携を深め、セキュリティの向上に努めるとコメントしています。同社は、今回のような事件を未来に防ぐための新しい技術や手法の開発にも注力しており、ユーザーや企業のデータ保護を最優先として行動していく方針を明らかにしました。
リリース文:Microsoft mitigated exposure of internal information in a storage account due to overly-permissive SAS token(アーカイブ)