-
セキュリティログの消失
- Microsoftは、一部のクラウド製品のセキュリティログが2週間以上失われていたことを顧客に通知
- 9月2日から9月19日まで、Microsoftの内部監視エージェントのバグにより、ログデータのアップロードに問題が発生
- セキュリティインシデントによるものではなく、ログイベントの収集のみに影響
- Business Insiderがこのログデータ消失を最初に報道
- ログはユーザーのログイン情報や失敗した試行などのイベントを追跡し、ネットワーク侵入の特定に役立つ
- ログ消失により、顧客ネットワークへの不正アクセスの特定が難しくなる可能性
- 影響を受けた製品はMicrosoft Entra、Sentinel、Defender for Cloud、Purviewなど
- Microsoftは問題を解決するためにサービス変更をロールバックしており、影響を受けた顧客にサポートを提供する予定
-
中国のハッキング事件との関連
- Microsoftは昨年、米国政府機関のメールをホスティングするクラウドでセキュリティログを提供していなかったとして批判を受けた
- 中国のハッカーStorm-0558がMicrosoftネットワークに侵入し、米国政府のメールにアクセス
- 米国務省は、より上位のMicrosoftライセンスを通じてセキュリティログにアクセスし、侵入を特定
- Microsoftは2023年9月から、より低価格のクラウドアカウントにもログの提供を開始
-
GN⁺のまとめ
- Microsoftのセキュリティログ消失は、クラウドセキュリティの重要性を改めて思い起こさせる
- ログ消失により、顧客のネットワークセキュリティが一時的に脆弱になるリスクがある
- 中国のハッキング事件との関連は、セキュリティログの重要性を強調しており、企業がセキュリティログへのアクセス性を高める必要があることを示している
- 類似機能を持つセキュリティソリューションとしては、Splunk、IBM QRadarなどが推奨される
1件のコメント
Hacker Newsの意見
Azureを実際の本番環境で使うのは自己責任。$100,000の無料クレジットがあっても、1か月以上使わない。高価で、インターフェースはユーザーフレンドリーではなく、製品は本番ワークロード向けとして信頼できない。
ほぼすべてのチームで、VM上で動くアプリケーションにバグがあった。アプリケーションログをストレージにプッシュする過程で問題が発生した。多くのチームが手動でエージェントを再起動しなければならなかった。
Microsoftの製品が影響を受けた。Entra、Sentinel、Defender for Cloud、Purviewなどが含まれる。
Microsoftの海外におけるサイバーセキュリティ上の失敗と、意図的な無視を扱った記事を忘れるべきではない。
どんな情報工作がこれを後押ししたのか気になる。
システムログがプラットフォームの脆弱性を露呈したのではないかという疑惑がある。マーケティング部門がログを失い、時間を稼ごうとしているような印象が残る。
NSAがログを盗んだのか疑問だ。
AzureのBatch Serviceはいまひとつだ。ジョブスケジューラがまったく正確ではない。
なぜこの問題を公に認めたのか気になる。