Microsoftは1月22日(米国時間)、「Access Misconfiguration for Customer Support Database」において、カスタマーサポート用のデータベースについて、設定ミスが原因で外部からアクセスできる状態にさらされていたと発表した。
Microsoftはデータは悪用されていないことを確認しているが、顧客に対する透明性を確保するため、本件を明らかにしたとしている。対象のデータベースに対し既に修正を行っているほか、流出したデータには個人を特定するようなデータは含まれていなかったという。
今回のセキュリティインシデントの流れについては、Comparitechが1月22日(米国時間)、「Report: 250 million Microsoft customer service and support records exposed on the web」において、タイムラインも含めて詳しく説明している。
データ漏洩を発見したのはBob Diachenko氏が率いるComparitechのセキュリティ調査チームで、2億5000万件のレコードが公開されていたと指摘している。セキュリティインシデントのタイムラインは次のとおりで、少なくとも2億5000件のデータが2日間にわたって公開されていたことになる。
日付 | 内容 |
---|---|
2019-12-28 | 検索エンジンBinaryEdgeが今回流出が発覚したデータベースをインデックス付け |
2019-12-29 | Bob Diachenko氏がデータベースを発見し、Microsoftへ連絡 |
2019-12-30〜2019-12-31 | Microsoftが該当データベースを保護 |
2020-01-21 | Microsoftが調査結果を公開 |
Comparitechは、メールエイリアス、契約番号、支払い情報といった個人の特定が可能な情報は伏せられた状態になっていたため個人を特定することは難しいと説明しつつ、次のようなデータは平文の状態で保持されていたことも指摘している。
- 顧客のメールアドレス
- IPアドレス
- 場所
- カスタマーサポートサービスのクレームとケースの説明
- Microsoftサポートエージェントのメール
- ケース番号、解決策、コメント
- 機密と印がついた内部メモ
Comparitechは流出したデータに関して、個人を特定できるような情報はないものの、技術サポートを装う詐欺に悪用される危険性があることを指摘している。このデータを悪用することで、Microsoftのサポート担当者になりすまして顧客に連絡を取り、最終的に機密情報の窃取やユーザーデバイスの制御権を乗っ取りを受ける危険性があるとされており、注意が必要。
脆弱性を発見したBob Diachenko氏は「年末年始だったにもかかわらず、Microsoftの反応は迅速ですぐに対応してくれた」と説明している。