Microsoft のセキュリティ・ログが失われた：約１ヶ月分の紛失の原因とは？

Microsoft warns it lost some customer’s security logs for a month

2023/10/17 BleepingComputer — Microsoft がエンタープライズ・ユーザーに公表したのは、約１ヶ月間にわたり重要なログが部分的に失われ、それらのデータをベースに不正行為を検出している企業が、リスクにさらされているという警告である。2024年10月上旬の時点で、この問題を初めて報じた Business Insider によると、9月2日 〜 9月19日に収集されなかったログデータがあることを、Microsoft は顧客に通知し始めたという。

紛失したログに含まれるものには、ネットワーク上の疑わしいトラフィック／行動／ログイン試行を監視するために、一般的に使用されるセキュリティ・データなどがあるという。そのため、失われたログが原因となり、攻撃が発生していても発見されていなという可能性が高まっている。

Microsoft MVP の Joao Ferreira による PIR (Preliminary Post Incident Review) が、この問題について詳述している。この、顧客に送付されたレビューによると、一部のサービスにおけるログの問題は深刻であり、10月3日まで欠落が続いたと指摘されている。

以下のサービスが影響を受け、それぞれレベルにおいてログの混乱が発生したと、Microsoft は述べている：

• Microsoft Entra：サインイン・ログ／アクティビティ・ログが不完全になる可能性がある。Azure Monitor 経由で Microsoft Sentinel／Microsoft Purview／Microsoft Defender for Cloud などの Microsoft セキュリティ製品に送信される Entra のログも影響を受けている。
• Azure Logic Apps：Logic Apps からの Log Analytics／リソース・ログ／診断設定などにおいて、テレメトリ・データの断続的な欠落が発生している。
• Azure Healthcare APIs：診断ログの一部が不完全な状態にある。
• Microsoft Sentinel：セキュリティ関連のログまたはイベントに、潜在的なギャップが生じており、顧客によるデータの分析／脅威の検出／セキュリティ・アラートの生成に影響を及ぼす可能性がある。 
• Azure Monitor：影響を受けたサービスからの、ログデータに基づくクエリを実行すると、ギャップまたは結果の減少が確認された。このログデータに基づいてアラートを設定している場合には、アラートに影響が出る可能性がある。
• Azure Trusted Signing：SignTransaction／SignHistory ログの一部が不完全であり、署名ログ量の減少と、請求額の過少が生じている。
•  Azure Virtual Desktop：Application Insights の一部が不完全となっている。AVD の主な接続性と機能は、影響を受けていない。
• Power Platform：管理および作成者のポータルにぼける、分析レポート／ライセンス・レポート／データ・レイクへのデータ・エクスポート／Application Insights／アクティビティ・ログなどにおいて、データに軽微な不一致が生じている。

Microsoft によると、このログ収集の失敗は、同社のログ収集サービスにおける別の問題の修正時に混入した、バグに原因であるという。

同社の PIR ( Preliminary Post Incident Review) では、以下のように説明されている：

PIR — 当初の変更は、ロギング・サービスの制限に対処するためのものだった。しかし、その展開時において、最初のエンドポイントにエージェントがディスパッチされている最中に、テレメトリのアップロード・エンドポイントを急いで変更すべきという指示が出され、誤ってデッドロック状態を引き起こしてしまった。その結果として、ディスパッチ・コンポーネントのスレッドが徐々にデッドロック状態となり、エージェントによるテレメトリのアップロードが妨げられた。

このデッドロックは、エージェント内のディスパッチ機構のみに影響し、その他の機能 (エージェントのローカル耐久キャッシュへのデータの収集とコミットなど)は、正常に動作している。エージェントまたは OS を再起動すると、デッドロックが解消され、エージェントは起動時にローカルキャッシュ内のデータをアップロードしていた。

しかし、再起動が行われる前に、エージェントが収集したログデータの量が、ローカル・エージェントのキャッシュの制限値を超えていたケースがあり、そのような場合には、エージェントはキャッシュ内の最も古いデータを上書きしていた (最新のデータを保持する循環バッファ／サイズ制限まで)。したがって、キャッシュのサイズ制限を超えるログデータは復旧できていない — PIR

Microsoft のコメントは、安全な展開のルールに従ってバグを修正したが、新たな問題を特定できず、その検出に数日を要したというものだ。

Microsoft の VP である John Sheehan は、バグは現在解決済みであり、すべての顧客に通知済みであると、TechCrunch への声明で述べている。その一方で、サイバー・セキュリティの専門家である Kevin Beaumont は、ログ・データが失われているが、通知を受け取っていないという企業を、少なくとも２社は確認していると述べている。

このインシデントの１年前に Microsoft は、侵害を検出するための十分なログデータを、無料ではなく有料で提供しているとして、CISA および議会から批判を受けている。

また、2023年7月には、中国のハッカーである Storm-0558 が Microsoft の署名キーを盗み出したことで、企業および政府の Microsoft  Exchange／Microsoft 365 アカウントへの侵入と、電子メールの盗難が可能となるという、インシデントが発生している。

Microsoft は、この署名キーが盗まれた理由を特定できなかったが、Microsoft の高度なログ・データを使用する米国政府が、この攻撃を最初に検知していた。ただし、このログ・データは、Microsoft の Purview Audit (Premium) のログ機能を有料で利用している、Microsoft ユーザーだけが利用できるものだった。そのため、この追加のログデータを無料で提供しない Microsoft は、組織における高度な検知能力を阻害していると批判された。

それに対して Microsoft は、CISA／OMB (Office of Management and Budget)／ONCD (Office of the National Cyber Director) と協力し、すべての Purview Audit 標準に対して無料のログ機能を拡張している。

この記事を訳していて面白いと思ったのは、Business Insider や TechCrunch といったメディアかが積極的に報道していることです。セキュリティの問題というより、Microsoft のログに関連するビジネス姿勢が、問題視されているように感じます。たしかに、膨大なログの管理には、膨大なコストが掛かりますので、Microsoft としても大変でしょうが、ここは頑張ってほしいところです。よろしければ、2024/08/07 の「Microsoft の Security First：すべてにおいてセキュリティが優先する方針を明示」を、ご参照ください。