また 派手な漏洩が発覚しました。
クラウドというすべてが集中するシステムの怖い面が浮き彫りになっています。
MicrosoftのAI研究部門が2020年7月にオープンソースのAI学習モデルをGitHubのリポジトリに公開した際に38TBにおよぶ機密データを漏えいしていたことを、クラウドセキュリティ企業のWizが公表しました。機密データにはパスワードや秘密鍵、3万件を超えるMicrosoft Teamsの内部メッセージが含まれていました。
38TB of data accidentally exposed by Microsoft AI researchers | Wiz Blog
https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers
Microsoft mitigated exposure of internal information in a storage account due to overly-permissive SAS token | MSRC Blog | Microsoft Security Response Center
https://msrc.microsoft.com/blog/2023/09/microsoft-mitigated-exposure-of-internal-information-in-a-storage-account-due-to-overly-permissive-sas-token/
Microsoft leaks 38TB of private data via unsecured Azure storage
https://www.bleepingcomputer.com/news/microsoft/microsoft-leaks-38tb-of-private-data-via-unsecured-azure-storage/Wizの調査チームは、クラウドでホストされているデータで漏えいがないかを調査する中で、MicrosoftのAI研究部門が公開しているオープンソースの画像認識AIモデルのソースコードを公開するリポジトリを発見
ファイルの共有は、Microsoft AzureのShared Access Signature(SAS)トークンと呼ばれる機能を使って行われていました。しかし、このトークンは読み取り専用ではなくフルコントロール権限を許可するように構成されていました。つまり悪意のある攻撃者がアクセスした場合、Azure ストレージアカウント内のすべてのファイルを閲覧できるだけではなく、既存のファイルを削除したり上書きしたりできる可能性もあります。
そして、発見されたリポジトリにストレージアカウントへのリンクが含まれていることがわかりました。このAzureストレージではAIモデルのソースコードのほかに、Microsoftの従業員が所有するPCのバックアップを含む30TBの機密情報にアクセスできたことがわかりました。
続きはこちらから👇
MicrosoftのAI研究部門がMicrosoft Azure経由で38TBもの内部機密データを漏えいしていたと判明 - GIGAZINE
https://gigazine.net/news/20230919-microsoft-azure-sas-token-exposure/
2023年09月19日 11時05分
スポンサーリンク
Microsoftの対応は素早く
Azureのストレージアカウントへの外部アクセスがすべて遮断
「今回のインシデントによって顧客データが漏えいした記録はなく、他の内部サービスが危険にさらされたということはありません」と表明しています。
と発表しています。