for-phone-onlyfor-tablet-portrait-upfor-tablet-landscape-upfor-desktop-upfor-wide-desktop-up

米マイクロソフト、クラウドのデータベースに脆弱性 数千社に通知

米マイクロソフトは26日、同社のクラウドサービスを使う数千社に対し、データベースにアクセスされて書き換えられたり削除される恐れがあると通知した。写真はニューヨークのマンハッタンにある販売店の同社ロゴ。今年1月25日撮影。(2021年 ロイター/Carlo Allegri)

[サンフランシスコ 26日 ロイター] - 米マイクロソフトは26日、同社のクラウドサービスを使う数千社に対し、データベースにアクセスされて書き換えられたり削除される恐れがあると通知した。ロイターが確認したマイクロソフトの電子メールとセキュリティー会社の報告で明らかになった。

脆弱性が見つかったのは、クラウドサービス「アジュール」上で提供されている旗艦データベース「Cosmos DB」。セキュリティー会社ウィズの研究チームは、データベースを管理するキーにアクセスできることを発見した。

マイクロソフトにはこのキーを変更する権限がないため、26日に顧客に対して新しいキーを作成するようメールで伝えた。マイクロソフトがウィズに宛てたメールによると、この脆弱性を発見したウィズに対して同社は4万ドルを支払うことで同意した。

ロイターはマイクロソフトにコメントを求めたが、現時点で回答できるものはないとした。

マイクロソフトが顧客に送ったメールによると、この脆弱性は既に修復されており、悪用された形跡はない。同社はメールで、ウィズの研究者以外に外部組織がこのデータベースの読み書き用キーにアクセスした形跡はないと説明している。

ウィズのアミ・ルトワク最高技術責任者(CTO)は、クラウドにおいて想像できる最悪の脆弱性だと指摘した。同氏によると、ウィズの研究チームはこの脆弱性を8月9日に発見し、12日にマイクロソフトに報告した。

for-phone-onlyfor-tablet-portrait-upfor-tablet-landscape-upfor-desktop-upfor-wide-desktop-up