マイクロソフトのAI研究者が、クラウドストレージリンクの設定ミスにより、大量の内部データを誤って公開した。

9月19日、サイバーセキュリティ企業の最新調査によると、マイクロソフトの人工知能研究チームがソフトウェア開発プラットフォームGitHub上で大量の個人データを誤って公開したことが明らかになった。マイクロソフトの従業員がTeams経由でやり取りした3万件以上の社内メッセージが漏洩した。マイクロソフトは警告を受けた後、すぐに公開されたデータを削除した。

クラウド セキュリティ企業 Wiz のチームは、クラウド プラットフォームでホストされているデータが誤って設定されたリンクを通じて公開されていることを発見しました。 Wiz によれば、Microsoft AI 研究チームは、GitHub でオープンソースのトレーニング コンテンツをリリースした際に、誤ってデータを漏洩してしまったとのことです。

関連するリポジトリのユーザーには、クラウドストレージ内の関連URLリンクから人工知能モデルをダウンロードできることが通知されていると報告されています。しかし、Wiz のブログ投稿によると、リンクはストレージ アカウント全体に対する権限を持つように誤って構成されており、読み取り専用権限だけでなくリポジトリ全体に対する完全な制御もユーザーに付与されていたため、ユーザーは既存のファイルを自由に削除したり上書きしたりできる状態になっていたという。 Wiz によると、リポジトリ内の漏洩データには、Microsoft サービスのパスワード、キー、および 359 人の Microsoft 従業員からの 30,000 件を超える Microsoft Teams 内部メッセージを含む、Microsoft 従業員の個人用コンピューターのバックアップ情報が含まれています。

Wiz の研究者は、オープンなデータ共有は AI トレーニングの取り組みの重要な要素であると述べています。しかし、大量のデータを共有すると、不適切に使用されると企業がより大きなリスクにさらされる可能性があります。ウィズは6月にマイクロソフトにこのニュースを伝え、マイクロソフトは漏洩したデータをすぐに削除したと、ウィズの最高技術責任者兼共同創設者のアミ・ルトワック氏は語った。同氏は、この事件は「もっとひどいものになっていた可能性もあった」と付け加えた。

データ漏洩についてコメントを求められたマイクロソフトの広報担当者は、「顧客データが侵害されておらず、他の社内サービスにも影響がなかったことを確認している」と述べた。

マイクロソフトは月曜日に公開したブログ投稿で、この事件はマイクロソフトの従業員がオープンソースの人工知能学習モデルへのURLをGitHubの公開リポジトリで共有したことに関係しており、同社は調査を行い、改善策を実施したと述べた。マイクロソフトによると、ストレージアカウントで公開されたデータには、元従業員2人のコンピュータープロファイルのバックアップと、2人の従業員と同僚との間のMicrosoft Teamsの内部メッセージが含まれていたという。

ブログによると、データの漏洩は、クラウドホストデータの偶発的な漏洩に関する作業の一環として、誤って構成されたストレージがないかインターネットをスキャンしていたWizの研究チームによって発見されたという。 （チェンチェン）