マイクロソフトは、ほぼ1ヶ月の間、バグによって重要なログが部分的に失われ、不正な活動を検出するためにこのデータに依存している企業が危険にさらされていることを、企業顧客に警告している。
この問題は今月初め、Business Insiderが最初に報じたもので、同誌によると、マイクロソフトは9月2日から9月19日の間、ロギング・データが一貫して収集されていないことを顧客に通知し始めたという。
失われたログには、ネットワーク上の不審なトラフィック、行動、ログイン試行を監視するために一般的に使用されるセキュリティデータが含まれており、攻撃が発見されない可能性が高まる。
マイクロソフトのMVPであるジョアン・フェレイラ(Joao Ferreira)氏が顧客に送付し共有したPreliminary Post Incident Review (PIR)によると、ログの問題は一部のサービスでさらに悪化し、10月3日まで続いたという。
マイクロソフトのレビューによると、以下のサービスが影響を受け、それぞれ程度の差こそあれ、ログが途絶えたという:
- Microsoft Entra:Microsoft Entra:サインインログ、アクティビティログが不完全な可能性がある。Azure Monitor経由でMicrosoft Sentinel、Microsoft Purview、Microsoft Defender for CloudなどのMicrosoft Security製品に流れるEntraのログも影響を受けた。
- Azure Logic Apps:Logic Apps の Log Analytics、Resource Logs、および Diagnostic settings の遠隔測定データに断続的なギャップが発生しました。
- Azure Healthcare API:診断ログが部分的に不完全でした。
- Microsoft Sentinel:セキュリティ関連のログやイベントにギャップの可能性があり、顧客がデータを分析したり、脅威を検出したり、セキュリティアラートを生成したりする能力に影響する。
- Azure Monitor:影響を受けたサービスのログデータに基づいてクエリを実行したときに、ギャップまたは結果の低下が観察された。お客様がこのログデータに基づいてアラートを設定したシナリオでは、アラート生成に影響があった可能性があります。
- Azure Trusted Signing:SignTransactionとSignHistoryのログが部分的に不完全なため、署名ログ量が減少し、過少請求が発生しました。
- Azure Virtual Desktop: Application Insightsに一部不備がありました。AVDの主な接続性と機能に影響はありませんでした。
- Power Platform:管理者およびメーカーポータルのアナリティクスレポート、ライセンスレポート、データレイクへのデータエクスポート、アプリケーションインサイト、アクティビティロギングを含む様々なレポートにおいて、データに影響する軽微な不一致が発生。
マイクロソフト社によると、このロギングの不具合は、同社のログ収集サービスにおける別の問題を修正する際に導入されたバグが原因だという。
“最初の変更は、ロギングサービスの制限に対処するためのものでしたが、デプロイされたときに、最初のエンドポイントへのディスパッチが進行している間に、エージェントが急速に変化する遠隔測定アップロードエンドポイントを変更するように指示されたときに、不注意にもデッドロック状態を引き起こしました。その結果、ディスパッチ・コンポーネントのスレッドが徐々にデッドロックに陥り、エージェントがテレメトリをアップロードできなくなりました。このデッドロックはエージェント内のディスパッチメカニズムにのみ影響し、エージェントのローカル耐久キャッシュへのデータ収集やコミットなど、他の機能は正常に動作しました。エージェントまたはOSを再起動するとデッドロックは解消され、エージェントは起動時にローカルキャッシュ内のデータをアップロードします。再起動が発生する前に、エージェントによって収集されたログデータの量がローカルエージェントのキャッシュ制限よりも大きい状況があり、これらの場合、エージェントはキャッシュ内の最も古いデータを上書きしました(サイズ制限まで、最新のデータを保持する循環バッファ)。キャッシュサイズの制限を超えたログデータは復元できません。”
マイクロソフト
マイクロソフト社によると、安全な導入方法に従ってバグを修正したにもかかわらず、新たな問題の特定に失敗し、発見までに数日かかったという。
マイクロソフト社のジョン・シーハン副社長はTechCrunchへの声明の中で、バグは現在解決され、すべての顧客に通知されたと述べた。
しかし、サイバーセキュリティの専門家であるケビン・ボーモント氏によると、ログデータが欠落している企業で、通知を受け取っていない企業を少なくとも2社知っているという。
この事件は、マイクロソフトが侵害を検知するための適切なログデータを無料で提供せず、その代わりに顧客に支払いを求めているとして、CISAや議員から批判を受けた1年後に起きた。
2023年7月、中国のハッカーがマイクロソフトの署名キーを盗み、企業や政府機関のマイクロソフト・エクスチェンジとマイクロソフト365のアカウントに侵入し、電子メールを盗むことを可能にした。
マイクロソフトは、この鍵がどのようにして盗まれたのかまだ特定できていないが、米国政府はマイクロソフトの高度なロギング・データを使って最初に攻撃を検知した。
しかし、こうした高度なロギング機能は、マイクロソフトのロギング機能「Purview Audit(Premium)」を有料で購入したマイクロソフトの顧客しか利用できなかった。
このため、マイクロソフトは、組織が高度な攻撃を迅速に検出できるように、この追加的なロギング・データを無料で提供しなかったとして、広く批判された。
CISA、行政管理予算局(OMB)、国家サイバー長官室(ONCD)と協力し、マイクロソフトは2024年2月に、すべてのPurview Audit標準顧客向けに無料のロギング機能を拡大しました。
Comments