マイクロソフトのAI研究者、38TBものデータを誤って公開状態に
マイクロソフトのAI研究チームは、オープンソースのAI学習データをGidHub上で公開する際、誤って38TB分ものプライベートなデータまで公開状態にしてしまったのだという。このことを発見したWizのセキュリティ研究者によると、公開状態となったデータには、マイクロソフト社のサービス用のパスワードや秘密鍵、社内でやり取りされたTeamsメッセージ3万通以上など、機微な個人データが含まれていたとされる。
GidHubリポジトリ内のURLから機微データ含むストレージアカウントへのアクセスが可能に
Wizのセキュリティ研究者らは、日々の調査の一環で設定ミスのあるストレージコンテナを探すためのスキャン作業をしていたところ、マイクロソフトのAI研究チームのGitHubリポジトリを発見。これは、画像認識のためのオープンソースのコードとAIモデルを提供するために公開されていたもので、これらのモデルのダウンロード元としてAzureストレージのURLが記載されていたという。しかしこのURLは公開が意図されたAIモデルだけでなく、ストレージアカウント全体にアクセス許可を与えるような設定になっていたため、Wizの研究者はアカウント内のデータにアクセスすることができた。
公開状態となった内部データは38TB分も
このアカウント内には、マイクロソフト従業員のPCのバックアップデータを含む38TB分ものデータが存在しており、これにはマイクロソフトサービスへのパスワードや秘密鍵のほか、従業員359人から送られた内部のTeamsメッセージ3万通以上など、機微な個人データも含まれていたという。
SASトークンの設定ミスによりフル権限が付与される
リポジトリ内のURLには、マイクロソフトが保有する内部のAzureストレージアカウント用のSASトークンが含まれていた。SASトークンとはAzureストレージリソースへのアクセス権を付与する署名済みURLのことを言い、どの程度の権限(例えば「読み取りのみで編集は不可」、など)を付与するかはユーザー側が選択できる。今回のマイクロソフトのSASトークンは最大限の権限を付与するものであったため、URLを利用すればストレージアカウント内のあらゆるデータの閲覧、削除、編集が可能になっていたという。
「顧客データの漏洩はなかった」とマイクロソフト
マイクロソフトはすでにトークンを失効させており、データの公開状態は解消されている。同社は今回のインシデントについて、顧客データは漏洩しておらず、上述のバックアップデータ以外の内部サービスはリスクに晒されなかったと述べている。またこの問題によってSASトークンのリスクが浮き彫りになったことを受け、SASに対して推奨されるベストプラクティスなどをブログ上で公開している。
(情報源:Wiz “38TB of data accidentally exposed by Microsoft AI researchers”、The Register “Microsoft worker accidentally exposes 38TB of sensitive data in GitHub blunder”)
9月19日:その他の注目ニュース
1万台超のジュニパー製デバイスが認証不要のRCEに脆弱(CVE-2023-36845)
BleepingComputer – September 18, 2023
推定12,000のジュニパーのSRXファイアーウォールおよびEXスイッチが、認証なしで悪用可能なリモートコード実行の脆弱性に対して脆弱な状態だという。
ジュニパーは8月、多数の脆弱性(CVE-2023-36845、CVE-2023-36846など)を公表していた。これらの脆弱性が連鎖すると重大なリモートコード実行の欠陥になることがわかっていたが、VulnCheckの研究者Baines氏が新たにリリースしたPoCエクスプロイトにより、CVE-2023-36845しか利用せずとも、認証なしでリモートコード実行を行えることが明らかになった。同脆弱性は元々、攻撃者によるPHP環境変数の操作を可能にするものとして発表されていたが、今回のBaines氏の発表によると、攻撃者がファイルをアップロードすることなくリモートコード実行を行えるようにするものでもあるという。
VulnCheckのネットワークスキャンでは、インターネットに露出したWebインタフェースを持つジュニパー製品が14,951件検出された。またBaines氏は、3,000台のデバイスのサンプルの79%にこのRCEの脆弱性があることを発見した。この結果をすべての露出したデバイスに適用すると、インターネット上に11,800台の脆弱なデバイスが存在することになるという。開示当初は深刻度が「中程度」としか評価されていなかったため、危機感を抱かずパッチ適用を見送ってしまったユーザーが多かった可能性がある。
同脆弱性は、EXシリーズおよびSRXシリーズのJunos OSの以下のバージョンに影響する。
20.4R3-S8以前のすべてのバージョン
21.1R1以降の21.1系
21.2R3-S6以前の21.2系
21.3R3-S5以前の21.3系
21.4R3-S5以前の21.4系
22.1R3-S3以前の22.1系
22.2R3-S2以前の22.2系
22.3R2-S2、22.3R3以前の22.3系
22.4R2-S1、22.4R3以前の22.4系
ジュニパーは、2023年8月17日にCVE-2023-36845を含む複数の脆弱性に対処したセキュリティ更新プログラムをリリースしたが、ハッカーはすでに同脆弱性を攻撃に活用する機会を探っていると指摘されている。同脆弱性は企業ネットワークへの初期アクセスのために使用される可能性があるため、ジュニパー製品の管理者はできるだけ早くこれらのアップデートを適用する必要がある。