JPSRT LOGO

Microsoft Storage Location における構成の誤りに関する調査

本ブログは、Investigation Regarding Misconfigured Microsoft Storage Locationの抄訳版です。最新の情報は原文を参照してください。


2022 年 10 月 28 日 (米国時間) 更新 : 「お客様用 FAQ」 セクションを追加しました。


概要

SOCRadar のセキュリティ研究者は、2022 年 9 月 24 日 (米国時間)、 マイクロソフトに対して、マイクロソフトのエンドポイントの構成が誤っていることを通知しました。この構成の誤りにより、Microsoft と見込み顧客との、Microsoft サービスの計画や実装、プロビジョニングに関する対話などの一部のビジネス トランザクション データに対して、認証されていないユーザーからのアクセスが発生する状態にありました。

構成の誤りに関する通知を受けた後、エンドポイントはすぐに保護され、現在は認証が必要です。マイクロソフトの調査の結果、お客様のアカウントやシステムが侵害された兆候は見られませんでした。また、影響を受けるお客様には直接通知しました。

顧客への影響

ビジネス トランザクション データには、氏名、メール アドレス、メール コンテンツ、会社名、電話番号が含まれており、顧客とマイクロソフトまたは認定 マイクロソフト パートナー間でのビジネスに関連する添付ファイルが含まれている可能性がありました。この問題は、マイクロソフトのエコシステム全体で使用されていないエンドポイントにおける意図しない誤設定に起因するもので、セキュリティ上の脆弱性によるものではありません。マイクロソフトは、この種の誤設定をさらに防止するためのプロセスの改善に取り組んでおり、すべての Microsoft エンドポイントのセキュリティを調査および保証するために追加のデューデリジェンスを実行しています。

SOCRadar が誤って設定されたエンドポイントについてお知らせしてくれたことに感謝します。しかし、彼らのブログ記事を確認した後、まず SOCRadar がこの問題の範囲を大幅に誇張していることに気付きました。データセットの詳細な調査と分析では、同じ電子メール、プロジェクト、およびユーザーへの複数の参照を含む重複した情報が表示されます。私たちはこの問題を非常に深刻に受け止めており、また、私たちがその誤りを指摘した後も、SOCRadar がこの問題に関連する数字を誇張したことに失望しています。

さらに重要なことは、SOCRadar が顧客のプライバシーやセキュリティを確保するために最善とは言えない「検索ツール」を、パブリックに公開することを選択し、潜在的に、顧客を不必要なリスクにさらしていることに失望しています。 同様のツールを提供しようとするセキュリティ企業は、データ保護とプライバシー保護を可能にする基本的な措置に従うことをお勧めします。

  1. ユーザーが本人であることを保証するための合理的な検証システムを実装すること。
  2. 検証済みユーザーに関する情報のみに配信された結果の範囲を絞り込むことにより、データ最小化の原則に従うこと。
  3. その会社が、どの顧客が影響を受けたデータを持っているかを合理的に忠実に判断する立場にない場合、他の顧客に属する可能性のある情報(メタデータ/ファイル名を含む)を特定のユーザーに表示しないこと。

マイクロソフトは、影響を受けるお客様に直接通知することに重点を置き、質問や懸念事項についてマイクロソフトに連絡するための方法をお客様に提供しました。メッセージ センターの通知を受信していない場合は、Microsoft の調査の結果、お客様の組織への影響は確認されていません。

-MSRC

お客様用 FAQ

Q: この誤って構成されたエンドポイントの影響を受けているかどうかは、どうすればわかりますか?
A: Microsoft は、2022 年 10 月 4 日 (太平洋標準時) に、メッセージ センターを通じて影響を受けるお客様にこの問題について通知しました。

Q: 組織がこの問題の影響を受けたことを懸念していますが、Microsoft からの通知が表示されません。どうしたらいいでしょう。
A: 影響を受けるお客様には、グローバル管理者ロール、または、メッセージ センターのプライバシー閲覧者ロールを持つユーザーのみが通知を表示できるデータプライバシータグを使用して、メッセージ センターの通知を送信しました。これらのロールは、お客様の組織によって、指定されています。 これらのロールの詳細と割り当て方法については、こちら を参照ください。

Q: 誤って構成されたエンドポイントは、Microsoft クラウド サービスの一部でしたか?
A: いいえ。誤って構成されたエンドポイントは、Microsoft クラウド サービスの運用環境へのアクセスが許可されていませんでした。お客様の環境、テナント、サブスクリプションはこの問題の影響を受けませんでした。

Q: 影響を受ける顧客です。誤って構成されたエンドポイントに私のどのデータがあったか教えていただけますか?
A: 影響を受けるデータを、正しいお客様へ高い信頼性をもって関連付けるために、影響を受ける可能性のあるデータを調査する際には厳格な検証方法を使用しています。また、関連付けが可能な場合はそのデータを提供しています。メッセージ センターの通知は、プライバシーとセキュリティ イベントについてMicrosoft 365のお客様と通信する安全な方法であるので、詳細についてはメッセージ センターの通知を参照してください。

Q: この問題は脆弱性の結果ですか?
A: いいえ。この問題は、Microsoft エコシステム全体で使用されなくなったエンドポイントでの意図しない構成ミスの結果でした。

Q: さらに質問があります。サポートを受けるための最良の方法は何ですか?
A: お客様は、いくつかの異なる方法でマイクロソフトに連絡することができます。

  • Microsoft 365 管理者アカウントで Microsoft 365 にサインインし、[サポート] > [新しいサービス リクエスト] を選択します。管理センターにアクセスしている場合には、[サポート] > [新しいサービス リクエスト] を選択します。
  • アカウントの管理者の場合は、(800) 865-9408 (フリーダイヤル、米国のみ利用可能) に電話をしてください。米国外にお住まいの場合は、グローバル サポートの電話番号を参照してください。