MicrosoftのAI研究部門がMicrosoft Azure経由で38TBもの内部機密データを漏えいしていたと判明

2023年9月19日 11時5分

MicrosoftのAI研究部門が2020年7月にオープンソースのAI学習モデルをGitHubのリポジトリに公開した際に38TBにおよぶ機密データを漏えいしていたことを、クラウドセキュリティ企業のWizが公表しました。機密データにはパスワードや秘密鍵、3万件を超えるMicrosoft Teamsの内部メッセージが含まれていました。

38TB of data accidentally exposed by Microsoft AI researchers | Wiz Blog

https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers

Microsoft mitigated exposure of internal information in a storage account due to overly-permissive SAS token | MSRC Blog | Microsoft Security Response Center

https://msrc.microsoft.com/blog/2023/09/microsoft-mitigated-exposure-of-internal-information-in-a-storage-account-due-to-overly-permissive-sas-token/

Microsoft leaks 38TB of private data via unsecured Azure storage

https://www.bleepingcomputer.com/news/microsoft/microsoft-leaks-38tb-of-private-data-via-unsecured-azure-storage/

Wizの調査チームは、クラウドでホストされているデータで漏えいがないかを調査する中で、MicrosoftのAI研究部門が公開しているオープンソースの画像認識AIモデルのソースコードを公開するリポジトリを発見しました。

ファイルの共有は、Microsoft AzureのShared Access Signature(SAS)トークンと呼ばれる機能を使って行われていました。しかし、このトークンは読み取り専用ではなくフルコントロール権限を許可するように構成されていました。つまり悪意のある攻撃者がアクセスした場合、Azure ストレージアカウント内のすべてのファイルを閲覧できるだけではなく、既存のファイルを削除したり上書きしたりできる可能性もあります。

そして、発見されたリポジトリにストレージアカウントへのリンクが含まれていることがわかりました。このAzureストレージではAIモデルのソースコードのほかに、Microsoftの従業員が所有するPCのバックアップを含む30TBの機密情報にアクセスできたことがわかりました。

ストレージにあったバックアップには、Microsoftサービスへのパスワードや秘密鍵が含まれていました。

さらにMicrosoftの従業員359名からの3万件を超えるMicrosoft Teamsメッセージなども含まれていたことも判明しました。

Wizは2023年6月22日に調査結果をMicrosoft Security Response Centerに報告し、2023年6月24日にはSASトークンが取り消されたことで、Azureのストレージアカウントへの外部アクセスがすべて遮断されたとのこと。Microsoftは「今回のインシデントによって顧客データが漏えいした記録はなく、他の内部サービスが危険にさらされたということはありません」と報告しています。

AIモデルはTensorFlowライブラリによって生成されたckpt形式で、PythonのPickleモジュールでフォーマットされていることから、設計上任意のコードを実行することができてしまいます。つまり、攻撃者がこのストレージアカウント内のすべてのAIモデルに悪意のあるコードを挿入した可能性があり、MicrosoftのGitHubリポジトリを信用するすべてのユーザーがそのコードの影響を受けている可能性もあると、Wizは指摘しています。

Wizは「SASトークンは監視とガバナンスが欠如しているためにセキュリティリスクを抱えており、その使用は可能な限り制限されるべきです。MicrosoftはAzureポータル内でトークンを一元管理する方法を提供していないため、これらのトークンを追跡するのは非常に困難です。さらにこれらのトークンは有効期限の上限が存在せず、実質的に永続するように構成されています。したがって、SASトークンを外部共有に使用することは安全ではなく、避けるべきです」と述べています。

Wizの共同創設者でCTO(最高技術責任者)でもあるアミ・ルトヴァク氏は、セキュリティ関連ニュースサイトのBleepingComputerに対して「AIはテクノロジー企業に大きな可能性をもたらします。しかし、データサイエンティストやエンジニアが新しいAIソリューションを本番環境に導入しようと競う中、彼らが扱う大量のデータには追加のセキュリティチェックと保護手段が必要となります。多くの開発チームで大量のデータを操作したり、同僚と共有したり、オープンソースプロジェクトとして公開して共同作業したりする必要があるため。今回のようなケースを監視してインシデントを回避することがいよいよ困難なものになっています」とコメントしました。