Microsoft、昨年12月に2億5000万件のサポートデータを誤って公開。既に修正済、対象ユーザーには個別連絡

悪意のある使用の痕跡はないとのこと

山本竜也(Tatsuya Yamamoto)
山本竜也(Tatsuya Yamamoto)
2020年01月23日, 午後 01:00 in security
66シェア
microsoft
米Microsoftは1月22日(現地時間)、サポートケースの分析に利用されるカスタマーサポートデータベースの設定ミスにより、一時的に約2億5000万件のデータがウェブ上で公開状態になっており、誰でもアクセス可能な状態になっていたことを明らかにしました。

Microsoftによると、12月5日にデータベースに加えられた変更が原因だったとのこと。データベースが公開されていることに気が付いたセキュリティ研究家のBob Diachenko氏と英テック系サイトComparitechのセキュリティ調査チームは、12月29日にMicrosoftに報告。Microsoftは31日には修正を完了しました。Microsoftの調査では、悪意のある使用の痕跡は見つからなかったとしています。公開されていた情報は、サポートセンターと顧客とのやり取りを含む内容ですが、その多くは自動化ツールにより編集され、個人情報が削除されていたとのこと。ただ、自動化ツールで対処できないデータ(スペースで区切られた電子メールアドレスなど)については、そのまま残っていたようです。

大部分が匿名化されていたとはいえ、このデータを入手した悪意のある人物が、Microsoftのサポートになりきって顧客に連絡を取り、個人情報などを入手する可能性はあります。このため、データベースに登録されていたユーザーに対して個別に通知を行っているとのことです。

これをきっかけとして、Microsoftはセキュリティルールの監査や、追加の自動編集ツールの実装などの対策を講じる予定だとしています。

Windowsやブラウザはともかくとして、Microsoft自身からの情報漏洩は珍しい気もしますが、実際にはサポート絡みのデータ漏洩は1年間でこれが2度目。2019年4月にもハッカーがサポートプラットフォームから資格情報を盗み出し、サポート関連のメールアドレスやアカウントデータにアクセスしたという事件がありました。

サポート関連の情報については、意外と対策が後手に回っているケースが多いのかもしれません。なお、Microsoftは「私たちが学んだように、独自の構成を定期的に見直し、利用可能なすべての保護を活用していると確認することをお勧めします」と呼びかけています。

TechCrunch 注目記事「新型コロナのソーシャルディスタンス(社会的距離戦略)を強力に支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]

TechCrunch Japanへの広告掲載についてのお問い合わせはad-sales@oath.com まで。媒体概要はメディアガイドをご覧ください。

関連キーワード: cybersecurity, data, data breach, data exposure, database, gear, internet, microsoft, security, vulnerability
66シェア

Sponsored Contents