Microsoft の 38 TB の内部データが漏洩!秘密鍵と3万件以上の仕事上の会話が漏洩、その背後にある理由は衝撃的

何か大きなことが起こりました！

数か月前、マイクロソフトの AI 研究チームは、大量のオープンソースのトレーニング データを GitHub に公開した際に大規模な漏洩被害に遭いました。

従業員のコンピューターの個人バックアップ、秘密鍵、30,000件を超える社内Teamsメッセージなど、最大38TBのデータが漏洩した。

マイクロソフトの AI 研究チームがオープンソースのトレーニング データ セットを公開した際に、誤って「秘密基金」への扉を開いてしまったことが判明しました。

SAS トークンが誤って構成されたためにリークが発生しました。

Microsoft の従業員は全員、Azure を使用してファイルを共有しています。しかし今や、その利便性は諸刃の剣となっている。共有しやすいが、漏洩もしやすいのだ。

ちょうど昨日、マイクロソフトとウィズが同時にブログを投稿し、事件の詳細を整理したため、一般の人々は3か月前にこのような重大な漏洩が発生していたことを知りました。

マイクロソフトの調査結果

このような大きな混乱を知った後、マイクロソフトは直ちに問題を修正し、影響を受ける可能性のあるファイルの包括的なチェックを実施し、漏洩の概要をまとめた公式ブログを公開しました。

公式ブログの主な目的は、顧客を安心させることです。マイクロソフトは冒頭で、「顧客データは漏洩しておらず、この問題により他の社内サービスが危険にさらされることはありません。顧客はこの問題に対して何らかの措置を講じる必要はありません」と述べています。

しかし、これほど大規模なデータ漏洩となれば、マイクロソフトの顧客は言うまでもなく、通行人でさえニュースを読んで不安を感じるだろう。

このデータ漏洩の原因と結果を見てみましょう。

漏洩を最初に発見したのは、クラウド セキュリティ企業 Wiz でした。同社は問題を発見した後、Microsoft に通知し、発見内容と分析に関する長いブログ記事を投稿して、自社のビジネス能力を宣伝しました。

Wiz によると、マイクロソフトの人工知能研究チームは、2 人の従業員のワークステーションのハード ドライブのバックアップを含む大量のオープン ソース トレーニング データを GitHub に公開した際に、38 TB の追加個人データを誤って公開したとのことです。

その中には、機密ファイル、秘密鍵、パスワード、30,000 件を超える Microsoft Teams の内部メッセージなどが含まれています。

しかし、脆弱性を発見した企業はサイバーセキュリティ企業であり、すぐにマイクロソフトに連絡したため、実際にデータが漏洩したわけではない可能性が高い。

偶発的なデータ漏洩のプロセスは、クラウドにホストされたデータが誤って漏洩していないかインターネットをスキャンしていた Wiz の研究チームが発見したことから始まりました。

Robust-models-transfer という名前のリポジトリが Github の Microsoft 組織の下に見つかりました。閲覧者は、Azure ストレージ URL からモデルをダウンロードできます。

ただし、この URL により、ユーザーはオープン ソース モデル以外のものにもアクセスできます。ユーザーにストレージ アカウント全体へのアクセスを許可するように構成されていたため、本来はプライベートで機密性の高いデータが公開されていました。

スキャンの結果、アカウントにはマイクロソフト社員2人のコンピューターのハードドライブのバックアップを含む38テラバイトの追加データが含まれていることが判明した。

図: 「robustnessws4285631339」ストレージ アカウント下の漏洩したフォルダー

図: ファイルバックアップで見つかった機密ファイルの小さなサンプル

マイクロソフト社員2名のTeamsチャット記録

不正なアクセス許可に加えて、この SAS トークンは「フル コントロール」アクセス許可でも誤って構成されていました。つまり、他のユーザーはストレージ アカウント内のすべてのファイルを表示できるだけでなく、ファイルを削除したり改ざんしたりすることもできます。

Repo の本来の目的は、トレーニングコード用の AI モデルを提供することです。 Repo は、SAS リンクから ckpt 形式のモデル データ ファイルをダウンロードするようにユーザーを誘導します。

これは Python の pickle フォーマッタを使用してフォーマットされており、任意のコード実行 (ACE) 攻撃に対して脆弱です。

攻撃者は、このストレージ アカウント内のすべての AI モデルに悪意のあるコードを挿入し、この Microsoft GitHub リポジトリを信頼したすべてのユーザーのセキュリティを侵害する可能性があります。

幸いなことに、このアカウントは Wiz 研究チームによるアクティブスキャン中に発見され、訪問ユーザー全員に公開されることはありませんでした。

Microsoft Azure は、「SAS トークン」と呼ばれるメカニズムを使用します。ユーザーはこのメカニズムを使用して、ストレージ アカウントへのアクセスを共有するためのリンクを作成し、確認後もアカウントは完全にプライベートなままです。

マイクロソフトはまた、Wiz の研究結果を受けて、コードの改ざんや機密ファイルの漏洩を防ぐため、すべての公開オープンソースコードの変更を監視するために GitHub 上の特別な監視サービスを拡張したと述べた。

SAS トークンの紹介

SAS (Shared Access Signature) は共有アクセス署名です。

Azure では、SAS トークンは、Azure Storage データへのアクセスを許可する認証済み URL です。

SAS アクセス権はユーザーがカスタマイズできます。

アクセスは単一のファイル、コンテナー、またはストレージ アカウント全体に対して行うことができ、権限は読み取り専用からフル コントロールまでの範囲です。

有効期限もカスタマイズできるため、ユーザーは無期限のアクセス トークンを作成できます。

このきめ細かい操作の分割により、ユーザーには優れた柔軟性と操作性が提供されますが、過剰な権限付与によって一連のリスクが発生する可能性もあります。

マイクロソフトの内部データの漏洩がこれを裏付けています。

最大権限の場合、トークンはアカウント全体に対してすべての権限を永続的に開くことができ、これは基本的にアカウント キーのアクセス権と同じです。

SAS トークンには、アカウント SAS、サービス SAS、ユーザー承認 SAS の 3 種類があります。

その中で最もよく使われるのは、Microsoft の Repo でも使用されているアカウント SAS トークンです。

次の図に示すように、アカウント SAS を生成するプロセスは非常に簡単です。

ユーザーはトークンのスコープ、権限、有効期間を設定し、トークンを生成します。バックグラウンドでは、ブラウザーは Azure からアカウント キーをダウンロードし、生成されたトークンにそのキーを使用して署名します。

プロセス全体はブラウザー上で完了し、Azure クラウド内のリソースやイベントとは一切関係ありません。

したがって、ユーザーが権限が高く無制限のトークンを作成した場合、管理者はそのトークンの場所と流通範囲を知る方法がありません。

これにより、トークンを取り消すことが非常に困難になります。

管理者はトークンに署名するアカウント キーをローテーションする必要があり、これにより同じキーで署名された他のすべてのトークンが無効になります。

この欠陥により、このサービスは、公開されたデータを探している攻撃者にとって格好の標的となった。

偶発的な漏洩のリスクに加えて、このサービスの欠陥により、攻撃者が侵害したアカウントに永続性を持たせるための効果的なツールとなります。

最近の Microsoft のレポートによると、攻撃者はサービスの監視機能の欠如を利用して、バックドアとして特権 SAS トークンを生成しているとのことです。

しかし、トークンの発行はどこにも記録されないため、管理者はトークンに対して対応するアクションを実行することができません。

SAS セキュリティ推奨事項

Wiz は、Microsoft のデータ漏洩の全プロセスを検証および分析した後、この事件の発端となった SAS のセキュリティを向上させるためのいくつかの提案をユーザーに親切に提供しました。

SAS 管理

まず、管理の面では、アカウント SAS トークンはセキュリティと管理が不足しているため、アカウント キー自体と同じように扱い、同様の注意を払う必要があります。

外部共有にはアカウント SAS を使用しないでください。トークン作成エラーが気付かれず、機密データが公開される可能性があります。

外部で共有する場合は、保存されたアクセス ポリシーを備えたサービス SAS の使用を検討してください。

この機能は、SAS トークンをサーバー側ポリシーに接続し、ポリシーを集中的に管理および取り消すことを可能にします。

コンテンツを時間制限付きで共有する必要がある場合は、最大 7 日間のアクセスのみを提供する SAS のユーザー認証を検討してください。

さらに、SAS トークンを Azure Active Directory の ID 管理に接続し、トークン作成者とそのユーザー ID に対する制御と可視性を提供します。

さらに、Wiz では、過剰に承認されたトークンの潜在的な影響が外部データに限定されるように、外部共有専用のストレージ アカウントを作成することを推奨しています。

SAS トークンを無効にするには、企業は各ストレージ アカウントの SAS アクセスを個別に無効にする必要があります。クラウド セキュリティ ポリシー管理 (CSPM) は、ポリシーとして追跡および適用できます。

SAS トークンの作成を無効にする別の解決策は、Azure で「ストレージ アカウント キーの一覧表示」操作をブロックし (キーがないと新しい SAS トークンを作成できないため)、現在のアカウント キーをローテーションして既存の SAS トークンを無効にすることです。

このアプローチでは、アカウント キーではなくユーザー キーに依存するため、ユーザー承認の SAS を作成できます。

SAS規制

次に、規制面では、アクティブな SAS トークンの使用状況を追跡する場合、各ストレージ アカウントの Storage Analytics ログを有効にする必要があります。

生成されたログには、署名キーや割り当てられたアクセス許可など、SAS トークン アクセスの詳細が含まれます。

ただし、ログにはアクティブに使用されたトークンのみが表示され、ログを有効にすると追加料金が発生し、アクティビティの多いアカウントの場合は高額になる可能性があることに注意してください。

さらに、Azure Metrics を使用して、ストレージ アカウント内の SAS トークンの使用状況を監視することもできます。

既定では、Azure はストレージ アカウント イベントを最大 93 日間記録して集計します。 Azure Metrics を使用すると、ユーザーは SAS 認証要求を検索して、SAS トークンを使用しているストレージ アカウントを見つけることができます。

SAS シークレットスキャン

最後は、Microsoft のケースに見られるように、秘密のスキャン ツールを使用して、成果物やモバイル アプリケーション、Web サイト、GitHub リポジトリなどの公開されている資産内の漏洩または過剰に承認された SAS トークンを検出することです。

Wiz ユーザー向けに、Wiz は内部および外部の資産内の SAS トークンを識別し、その権限を調査するための秘密スキャン機能を提供します。さらに、Wiz CSPM を使用して SAS 対応のストレージ アカウントを追跡することもできます。

Wizの紹介

米国ニューヨークに拠点を置くネットワーククラウドセキュリティのスタートアップ企業であるWizは2020年に設立され、マイクロソフトがデータ漏洩を発見し、より深刻な結果を防ぐのを支援しました。

同社の自己紹介によると、同社の主な事業は、企業がパブリッククラウド インフラストラクチャのセキュリティ問題を発見し、企業のセキュリティ チーム向けにクラウドネイティブの可視性ソリューションを設計するのを支援することです。クラウド環境全体を分析し、クラウド、コンテナ、ワークロード全体のセキュリティ リスクを 360 度で把握できます。

同社は8月末に、約3億ドルのDラウンド資金調達を完了し、評価額は100億ドル近くに達して、クラウドセキュリティ分野の巨大ユニコーンとなった。

顧客には、クラウド サービスとセキュリティを必要とするあらゆる分野の企業が含まれます。

創設者の4人、アミ・ルトワック、アサフ・ラパポート、イノン・コスティバ、ロイ・レズニックは全員イスラエル出身で、イスラエル軍に勤務中に出会った。

その後、4人はAdallomと呼ばれるクラウドアクセスプロキシ製品を開発し、2015年にマイクロソフトに買収された。その結果、4人がマイクロソフトに入社しました。彼らが開発したクラウド セキュリティ製品は Microsoft 独自のサービスに統合され、Microsoft に毎年 10 億ドル近くのクラウド セキュリティ事業収益をもたらしました。

彼らのビジネスと製品が Microsoft Azure 以外でも非常に有望な市場見通しを持っていることがわかったため、4 人は会社を辞め、2 番目のビジネスである Wiz を共同設立することを決意しました。

ローカル ネットワーク セキュリティとは異なり、セキュリティ チームは「単一の管理プラットフォーム」ですべてのクラウド サーバーを表示できないことがわかり、Wiz はこの市場をターゲットにして、複数のパブリック クラウド サービスをサポートするセキュリティ管理プラットフォームを提供しました。