米マイクロソフト、クラウドのデータベースに脆弱性　数千社に通知

［サンフランシスコ　２６日　ロイター］ - 米マイクロソフトは２６日、同社のクラウドサービスを使う数千社に対し、データベースにアクセスされて書き換えられたり削除される恐れがあると通知した。ロイターが確認したマイクロソフトの電子メールとセキュリティー会社の報告で明らかになった。

脆弱性が見つかったのは、クラウドサービス「アジュール」上で提供されている旗艦データベース「Cosmos DB」。セキュリティー会社ウィズの研究チームは、データベースを管理するキーにアクセスできることを発見した。

マイクロソフトにはこのキーを変更する権限がないため、２６日に顧客に対して新しいキーを作成するようメールで伝えた。マイクロソフトがウィズに宛てたメールによると、この脆弱性を発見したウィズに対して同社は４万ドルを支払うことで同意した。

ロイターはマイクロソフトにコメントを求めたが、現時点で回答できるものはないとした。

マイクロソフトが顧客に送ったメールによると、この脆弱性は既に修復されており、悪用された形跡はない。同社はメールで、ウィズの研究者以外に外部組織がこのデータベースの読み書き用キーにアクセスした形跡はないと説明している。

ウィズのアミ・ルトワク最高技術責任者（ＣＴＯ）は、クラウドにおいて想像できる最悪の脆弱性だと指摘した。同氏によると、ウィズの研究チームはこの脆弱性を８月９日に発見し、１２日にマイクロソフトに報告した。