本稿では、SitecoreおよびMicrosoftに関連するサービスに影響する可能性がある、Microsoftサポート サービスに関連するセキュリティの問題(SC2020-001-CS0180052)について説明いたします。
この問題は、サポートのお問い合わせの分析データを保管する目的で使用される、内部Microsoftサポート データベース特有の問題であり、Microsoftの商用クラウド サービスが(悪意のある攻撃などに)暴露されたといったものではありません。
Microsoftは、2019年12月5日にデータベースのネットワーク セキュリティ グループに変更を加えました。
しかし、この変更にはデータの暴露を許すセキュリティ ルールの設定ミスがあり、その結果、いくつかのシナリオにおいて、サポートのお問い合わせの分析データベースに格納されたデータが、個人情報を削除する自動ツールによって編集されない場合があることが判明しました。
例えば、情報が標準的でない書式で記載されている場合、例えばメール アドレスがスペースで分けられているとき(例:「XYZ@contoso.com」ではなく「XYZ @contoso com」)などに、データが編集されずに残される可能性があります。理論上、これによって個人を識別できる情報が暴露されるおそれがあります。
この問題の通知を受けて、Microsoftのエンジニアは不正なアクセスを防止するため、2019年12月31日に設定を修正し、データベースに制限を掛けました。そのため現在問題は既に修正されていますが、弊社といたしましては、この問題の可能性について、Sitecoreのお客様とパートナー様にお知らせする次第です。
問題の詳細につきましては、Microsoft Security Response Centerページでご確認いただけます。
Sitecoreは、引き続きMicrosoftと連携し、本問題とその影響について調査し、新たな情報が入りましたら、本記事を更新してお知らせいたします。
お客様側では、何もしていただく必要はありません。