チャガ・ヴァスデヴァン(製品管理担当VP、Skyhigh Security)
2022年10月28日 3 分で読めます
「BlueBleed」と名付けられた、脅威インテリジェンスプロバイダーのSOCRadarによって発見された最近のMicrosoftの侵害は、設定ミスのあるクラウドストレージバケットのリスクに光を当て、企業がセキュリティ保証の提供と責任をクラウドサービスプロバイダー(CSP)に完全に依存することはできないことを示しています。Verizon 2022 Data Breach Investigations Reportによると、設定ミスは依然として侵害の主要な原因であり、過去1年間の侵害の13%の原因であったことが示されています。設定ミスは人為的なエラーの結果であるため、どのCSPも完全に安全であるとは限りません。
Microsoft Security Response Center (MSRC)は、10月19日の回答で、「意図しない設定ミス」により顧客データへの「認証されていないアクセスの可能性」が生じたと述べました。同組織によると、このデータには「氏名、メールアドレス、メールの内容、会社名、電話番号が含まれ、顧客とMicrosoftまたは認定Microsoftパートナーとの間のビジネスに関連する添付ファイルが含まれていた可能性」があるとのことです。MSRCは、影響を受けた企業の数に関する詳細をこれ以上提供せず、このインシデントを軽視しているようでした。
SOCRadarによると、元の投稿の翌日のフォローアップで、この侵害は123か国の15万社に属する機密データを含む6つの大規模なクラウドバケットに関与していました。これらの設定ミスのあるバケットの中で最大のものでは、111か国の6万5千のエンティティに属する2.4 TBのデータが含まれていました。
10月20日、著名なサイバーセキュリティ研究者であるケビン・ボーモント氏が報告したところによると、Microsoftのバケットは、Grayhat Warfareなどのサービスによって数ヶ月間公開インデックス化され、読み取り可能になっていました。彼は、MSRCの公式声明は「現実世界でサイバーセキュリティがどのように機能するかを全く理解していない」ことを示しており、規制当局への通知の明らかな失敗と、顧客にどのようなデータが取得されたかを伝えることを拒否したことは、「大規模な対応の失敗の兆候」であると主張しました。
The Hacker Newsによる10月21日の記事は、「開示前に脅威アクターによって情報が不適切にアクセスされたという証拠はない」と報じていますが、そのような漏洩が悪意のある目的に悪用される可能性があると指摘しています。
漏洩したデータには、Microsoftの顧客および潜在顧客のインフラストラクチャとネットワーク構成に関する機密情報が含まれている可能性があります。影響を受けた組織のいずれかのインフラストラクチャで脆弱性を探しているハッカーは、このデータを価値があると見なし、ネットワークを悪用するために使用する可能性があります。
まず、CSPが組織の攻撃対象領域を拡大する可能性があることを認識してください。各当事者の責任を理解し、明確にするために、CSPとのサービスレベル契約(SLA)を慎重に確認する必要があります。これは通常、共有責任モデルで概説されており、クラウド環境のあらゆる側面におけるセキュリティ責任を分解するセキュリティおよびコンプライアンスフレームワークです。これには、ハードウェア、インフラストラクチャ、エンドポイント、データ、構成、設定、オペレーティングシステム、ネットワーク制御、アクセス権が含まれます。実際には、CSPと顧客の両方がセキュリティ確保に役割を果たしますが、一方の当事者が直接制御し、全責任を負う特定の資産があり、他方の当事者にはそれらの資産に対する可視性がありません。この共有セキュリティモデルは複雑ですが、効率性、強化された保護、および専門知識という利点を提供します。
セキュリティタスクと機能は、クラウドサービス提供モデル(Software-as-a-Service (SaaS)、Platform-as-a-Service (PaaS)、Infrastructure-as-a-Service (IaaS))によって異なります。IaaSおよびPaaS環境は、顧客により大きな選択肢と柔軟性を提供しますが、適切に構成されていない場合は、より大きなセキュリティリスクをもたらします。
クラウドネイティブ: Infrastructure-as-a-Serviceの導入とリスクに関するレポートによると、IaaSの誤設定の99%は見過ごされています。Security Service Edge (SSE)は、セキュリティプロフェッショナルが本番環境で脅威となる前にリスクのある設定を検出するのに役立ちます。セキュリティの発見がセキュリティインシデントになる前に強調することで、SSEは規制フレームワークへの準拠を改善し、不適切なセキュリティ制御に関連するデータ損失、悪用、または罰金の可能性を減らすのにも役立ちます。
BlueBleedの漏洩がどうなるかは、時間が経てばわかるでしょう。このような侵害の影響を受けるリスクを避けたい場合は、SkyhighのSecurity Service Edgeテクノロジーが役立ちます。その独自のデータ認識型CSPM機能により、お客様は誤設定を検出し、機密データを含むパブリッククラウドインフラストラクチャ内でデータ漏洩に対して最も脆弱な重要な領域を特定するのに役立ちます。
ブログへ戻るStuart Bayliss and Sarang Warudkar June 25, 2026
Sarang Warudkar June 17, 2026
サラン・ワルドカー、スチュアート・ベイリス 2026年5月21日
サラン・ワルドカル 2026年5月19日