2022年10月28日
By Thyaga Vasudevan - VP of Product Management、Skyhigh Security
BlueBleed」と呼ばれる、脅威インテリジェンス・プロバイダーであるSOCRadarによって発見された最近のマイクロソフトの情報漏えいは、誤った設定のクラウド・ストレージ・バケットのリスクに光を当て、企業がセキュリティ保証の提供や責任をクラウド・サービス・プロバイダー(CSP)に完全に依存することはできないことを示している。Verizon 2022 Data Breach Investigations Reportによると、設定ミスは引き続き情報漏えいの主な原因となっており、昨年1年間の情報漏えいの13%が設定ミスであった。設定ミスはヒューマンエラーの結果であるため、完全に安全なCSPは存在しないと考えるべきである。
何が起こったのか
マイクロソフト・セキュリティ・レスポンス・センター(MSRC)は10月19日の対応で、「意図しない誤設定」によって顧客データに「認証されていないアクセスの可能性」があったと発表した。"氏名、電子メールアドレス、電子メールの内容、会社名、電話番号が含まれ、顧客とマイクロソフトまたはマイクロソフトの正規パートナーとの取引に関する添付ファイルが含まれていた可能性がある "という。MSRCは、影響を受けた企業の数についてこれ以上の詳細は明らかにせず、この事件を軽視しているようだ。
SOCRadarによると、元の投稿の翌日のフォローアップで、侵害は123カ国の15万社に属する機密データで構成される6つの大規模なクラウドバケットに関与していた。そのうちの最大の誤設定バケットには、111カ国、65,000社に属する2.4TBのデータが含まれていた。
10月20日、著名なサイバーセキュリティ研究者であるケビン・ボーモントは、マイクロソフトのバケットがGrayhat Warfareのようなサービスによって何カ月も前から公にインデックスされ、閲覧可能であったことを報告した。同氏は、MSRCの公式声明は「現実世界でサイバーセキュリティがどのように機能しているのかまったく理解していない」ことを示しており、規制当局への通知を明らかに怠り、どのようなデータが持ち出されたのかを顧客に伝えようとしなかったことは、「大失敗した対応の特徴」であると主張している。
The Hacker News』による10月21日付の記事はこう伝えている:「情報公開前に脅威行為者によって情報が不正にアクセスされたという証拠はない」としながらも、このような情報漏えいが悪意のある目的に悪用される可能性があることを指摘している。
なぜそれが重要なのか
流出したデータには、マイクロソフト社の顧客および潜在的な顧客のインフラやネットワーク構成に関する機密情報が含まれている可能性があります。影響を受けた組織のインフラストラクチャの脆弱性を探しているハッカーは、このデータを貴重なものと判断し、そのネットワークを悪用する可能性があります。
あなたにできること
まず、CSPが組織の攻撃対象領域を拡大する可能性があることを認識することから始めましょう。CSPとのサービス・レベル・アグリーメント(SLA)を慎重に見直し、誰が何に責任を持つのかを理解し、各当事者の責任を明確にする必要があります。これは通常、共有責任モデル(Shared Responsibility Model)というセキュリティとコンプライアンスのフレームワークで概説され、クラウド環境のあらゆる側面に対するセキュリティ責任を細分化します。これには、ハードウェア、インフラ、エンドポイント、データ、構成、設定、オペレーティング・システム、ネットワーク制御、アクセス権などが含まれる。実際には、CSPと顧客の双方がセキュリティを確保する役割を果たすが、一方の当事者が直接管理し、全責任を負う資産もある。この共有セキュリティ・モデルは複雑ですが、効率性、保護強化、専門知識というメリットがあります。
セキュリティのタスクと機能は、クラウドサービスの提供モデルによって異なります:SaaS(Software-as-a-Service)、PaaS(Platform-as-a-Service)、IaaS(Infrastructure-as-a-Service)など、クラウドサービスの提供モデルによって、セキュリティの課題は異なります。IaaSとPaaS環境は、顧客に大きな選択肢と柔軟性を提供する一方で、適切に設定されていない場合は、より大きなセキュリティリスクも存在します。
Cloud-Nativeによると:The Infrastructure-as-a-Service Adoption and Risk Reportによると、IaaSの誤設定の99%は気づかれないまま放置されている。 Security Service Edge(SSE)は、セキュリティ専門家が、本番環境で脅威となる前にリスクのある構成を発見するのに役立ちます。セキュリティインシデントになる前にセキュリティ上の発見をハイライトすることで、SSEは規制フレームワークのコンプライアンスを改善し、不適切なセキュリティ管理に関連するデータ損失、不正使用、罰金の可能性を低減することもできます。
BlueBleedの流出がどうなるかは時間が解決してくれるだろう。このような情報漏えいの影響を受けたくないのであれば、スカイハイの技術がお役に立ちます。 Security Service Edgeテクノロジーにお任せください。スカイハイ独自のデータ認識型CSPM機能により、顧客は設定ミスを検出し、機密データを含むパブリッククラウドインフラストラクチャの中で、データ漏えいの可能性が最も高い重要な領域を指摘することができます。
ブログへ戻る