Microsoftが過去14年間・2億5000万件分のカスタマーサービスの記録をネット上に流出させてしまったことが判明
by mohamed hassan
セキュリティ企業Comparitechの調査チームが、Microsoftのカスタマーサービス&サポート(CSS)の記録およそ2億5000万件がウェブ上に公開されていたと報告しました。すべてのデータはパスワードやその他の認証なしでウェブブラウザからアクセス可能な状態だったとのことです。
Access Misconfiguration for Customer Support Database - Microsoft Security Response Center
https://msrc-blog.microsoft.com/2020/01/22/access-misconfiguration-for-customer-support-database/
250 million Microsoft customer service & support records exposed
https://www.comparitech.com/blog/information-security/microsoft-customer-service-data-leak/
セキュリティ研究者であるボブ・ディアチェンコ氏の率いる調査チームによれば、2019年12月28日にインターネットをスキャンして流出したデータを検索できるBinaryEdgeで、Elasticsearchの公開サーバー5つがインデックス付けされたとのこと。
これらサーバーを確認したところ、MicrosoftのCSSのクライアントとの会話ログ、クライアントのメールアドレスや契約番号、支払い情報、IPアドレス、場所、内部メモといった個人情報を含んだ14年間にわたる記録が含まれていたことが判明しました。
ディアチェンコ氏がすぐさまMicrosoftに連絡した結果、24時間以内に公開されていたサーバーとデータが保護されたとのこと。ディアチェンコ氏は「大みそかにもかかわらず、Microsoftのサポートチームが迅速に対応してくれたことを称賛します」とコメントしています。
Kudos to MS Security Response team - I applaud the MS support team for responsiveness and quick turnaround on this despite New Year’s Eve. https://t.co/PPLRx9X0h4
— Bob Diachenko (@MayhemDayOne) January 22, 2020
個人情報を含むサーバーが公開設定になっていた原因について、Microsoftは「2019年12月5日に行われたデータベースのネットワークセキュリティグループの変更で、誤った構成のセキュリティルールが含まれていたため」と語っています。Microsoftは「残念ながら、サーバーの誤設定は業界全体でも一般的なエラーです。この種の間違いを防ぐための解決策はありますが、残念ながらこのデータベースでは有効になっていませんでした。すでに説明したように、独自の構成を定期的に確認し、利用可能なすべての保護機能を活用することをお勧めします」というコメントを発表しています。
Comparitechの技術者であるポール・ビショフ氏は「もしデータが保護される前に詐欺師がアクセスしてしまっていた場合、フィッシング詐欺につながるだけではなく、Microsoftや他企業のコールセンターのエージェントになりすまして被害者のマシンにマルウェアを仕込んだりデータを盗み出したりするような詐欺も起こり得ます」と注意を促しています。
・関連記事
120億件ものパスワードを販売していた闇サイトが国際警察に検挙される - GIGAZINE
三菱電機がサイバー攻撃集団TICKによるものとみられる攻撃を受けて機密情報など流出の恐れ - GIGAZINE
2億6700万人以上のFacebookユーザーの電話番号や名前がオンラインで流出、詐欺に使用される危険性も - GIGAZINE
政府から支援を受けたハッカーグループによる攻撃は日本を含む全世界で3カ月に1万2000件以上発生 - GIGAZINE
2400人以上の従業員を解雇したWeWorkのエンジニアが顧客の個人情報をGitHubで公開していたことが判明 - GIGAZINE
12億人分もの個人情報がオンラインのサーバー上に誰でもアクセス可能な状態で保管されていたことが判明 - GIGAZINE
・関連コンテンツ