MicrosoftのクラウドシステムであるAzureCosmosDBを使用している少なくとも3000社のデータが危険にさらされています。しかし、ウィズによって発見された欠陥は、数年前から存在していました。詳細はこちら
マイクロソフトは先週、クラウドコンピューティングサービスの何千もの顧客に、悪意のある人々がAzure Cosmos DBデータベースに含まれるデータを読み取ったり、変更したり、削除したりする可能性のあるシステムの欠陥について警告しました。
この脆弱性は、アメリカのサイバーセキュリティ会社Wizのチームによって発見されました。そのテクニカルディレクターであるAmi Luttwakは、以前はMicrosoftのクラウドセキュリティグループで同じ役職に就いていました。
COSMOSDBの問題
Wizは、3000社を超える企業のCosmosDBデータベースのアクセスキーにアクセスできることを発見しました。 Microsoftはこれらのキーを独自に変更することはできないため、すべての顧客に電子メールを送信して、新しいキーを作成するように依頼しました。
マイクロソフトクラウドのお客様
Cosmos DBサービスを使用している企業には、Coca-Cola Company、石油会社ExxonMobil、およびソフトウェア会社CitrixSystemsが含まれます。また、米国で最大の1つであるWalgreens薬局チェーンもあり、Cosmos DBを使用して医薬品処方トランザクションを管理しています(1日あたり600万を超えています)。
40千ドルの報酬
欠陥を発見して報告したことで、WizはMicrosoftから40,000ドルの報酬を受けました。マイクロソフトがロイターに語った脆弱性は「すぐに」修正された。
マイクロソフトは、顧客への電子メールで、CosmosDBの欠陥を悪用してキーにアクセスしてデータをハッキングしたという証拠はないと述べています。
「想像できる最悪のクラウドの脆弱性」
ロイターとのインタビューで、Luttwakは、この欠陥は「考えられる最悪のクラウドの脆弱性[…]」であると述べました。これはAzureの中央データベースであり、必要な顧客のデータベースにアクセスすることができました。」
障害はどこにありましたか
Wizチームは8月9日にCosmosDBの問題(ChaosDBと呼ばれる)を発見し、12日にMicrosoftに通知しました。この欠陥はJupyter Notebookと呼ばれる視覚化ツールにあったため、実際には2019年半ばから存在していました。 2月からCosmosでデフォルトで有効になります。
リスクのあるお客様?
Microsoftは、Wizが欠陥を発見した今月、アクセスキーが表示されたCosmosDBの顧客にのみ通知しました。しかし、Luttwak氏は、Microsoftから通知を受けていない企業でさえ、過去にデータベースの侵害を経験した可能性があると述べた。
マイクロソフトはロイターに、「影響を受けた可能性のある顧客は、私たちから通知を受け取った」と詳しく述べていませんでした。 Wiz は、Microsoftから通知を受けた3300だけでなく、すべてのAzureユーザーにアクセスキーの変更を依頼しました。
マイクロソフトの悪い期間
サイバーセキュリティに対するマイクロソフトの評判にとっては悪い時期です。数か月前、Microsoftからソースコードを盗んだロシアにリンクされたサイバー犯罪者によって実行されたとされる大規模なSolarWindsサイバー攻撃(これも9つの米国政府機関を襲った)がありました。続いて、とりわけ、MicrosoftExchangeサーバーへの侵入がありました。
ただし、Azureクラウドプラットフォームの脆弱性の問題はおそらくさらに深刻です。業界の専門家(およびMicrosoft自体)は、企業にデータインフラストラクチャを放棄し、より高いセキュリティを保証するためにクラウドシステムに正確に依存するように長い間促してきました。ロイターは、クラウドへのサイバー攻撃はまれですが、膨大な量のデータが関係しているため、壊滅的な打撃を与える可能性があると説明しています。ただし、一部は公開されていません。
安全への投資
最近、ジョー・バイデンの米国政府当局者との会談後、マイクロソフトは5年間でサイバーセキュリティに200億ドルを投資すると発表しました。これは、現在のレベルの4倍の増加です。さらに1億5000万人が、デジタルセキュリティシステムをアップグレードするための米国連邦、州、および地方の機関への技術支援に割り当てられます。
これは、Mon, 30 Aug 2021 07:51:17 +0000 の https://www.startmag.it/innovazione/microsoft-cloud-azure-falla-sicurezza-wiz/ で Start Magazine に公開された記事の自動翻訳です。