マイクロソフト、顧客のセキュリティログを1ヶ月間失ったと警告

Microsoft Corp. は、9月の数週間にわたり、一部のセキュリティログを失う原因となったソフトウェアのバグを解決しました。

TechCrunch に対する声明の中で、レッドモンドの巨人は、サービスの変更をロールバックすることでバグの問題を軽減し、影響を受けたすべての顧客に通知していることを確認しました。

「サービスの変更をロールバックすることで問題を軽減しました。影響を受けたすべての顧客に連絡を取り、必要に応じてサポートを提供します」と、マイクロソフトの企業副社長であるジョン・シーハンは TechCrunch に対する声明で述べました。

マイクロソフトの幹部によると、この問題は、同社の内部監視エージェント内の運用バグによって引き起こされ、ログデータを同社の内部ログプラットフォームにアップロードすることを妨げていました。

この問題は、今月初めに Business Insider によって最初に報告されました。記事によると、マイクロソフトは顧客に対し、約1ヶ月間、いくつかの重要なセキュリティ製品のログデータを一貫して収集できなかったことを通知しているとのことです。これにより、顧客が脅威を検出し、セキュリティアラートを生成する能力に影響を与える可能性があります。

9月2日から9月19日までの間に、「マイクロソフトの内部監視エージェントの1つにバグがあり、ログデータを内部ログプラットフォームにアップロードする際に一部のエージェントが故障しました」と、マイクロソフトは影響を受けた顧客に送信した通知の中で述べました。

ログは、ネットワーク上のログイン試行、オブジェクトアクセス、ファイル削除など、システム内のイベントの重要な記録です。

これにより、ネットワーク防御者は疑わしい侵入を特定するのに役立ちます。しかし、適切なログ記録がないと問題を特定し追跡することが難しく、潜在的な侵入の事例を見逃す可能性があります。

「この問題は、顧客向けのサービスやリソースの稼働時間には影響を与えませんでした — 収集されたログイベントにのみ影響を与えました。さらに、この問題はセキュリティの侵害とは関係ありません」と通知は説明しました。

影響を受けた製品には、アイデンティティ管理サービスである Microsoft Entra、セキュリティ情報およびイベント管理製品である Microsoft Sentinel、クラウド向けの Microsoft Defender、およびデータ損失防止製品である Microsoft Purview が含まれます。

「Microsoft Sentinel の顧客は、セキュリティ関連のログやイベントに潜在的なギャップがあった可能性があり、顧客がデータを分析したり、脅威を検出したり、セキュリティアラートを生成したりする能力に影響を与える可能性があります」と通知は警告しました。

さらなる情報については、影響を受けた顧客に送信された事後の初期レビュー（PIR）を確認できます。

マイクロソフトによると、ログの失敗は、同社のログ収集サービスの別の問題に対処する際に偶然導入されたバグによって引き起こされました。

同社は、バグを修正する際に安全なデプロイメント手法に従ったにもかかわらず、新しい問題をすぐに検出できなかったと説明しました。

その結果、問題を特定するのに数日かかりました。