Skip to main content
MSRC

マイクロソフトは、Power Platformにおけるカスタム コードの情報漏えいの脆弱性を修正しました。

Japan Security Team
/ By Japan Security Team / / 8 min read

本ブログは、Microsoft mitigates Power Platform Custom Code information disclosure vulnerability の抄訳版です。最新の情報は原文を参照してください。



概要

2023 年 3 月 30 日、Tenable 社は、協調脆弱性開示 (CVD) の下で、カスタム コードを使用した Power Platform カスタム コネクタに関するセキュリティの問題についてマイクロソフトに報告しました。この機能により、顧客はカスタム コネクタのコードを書くことができます。この問題は完全に解決しており、お客様による対処は必要ありません。



顧客への影響

この脆弱性により、Power Platform のカスタム コネクタに使用されるカスタム コード関数への不正アクセスにつながる可能性があります。潜在的な影響としては、シークレットまたはその他の機密情報がカスタム コード関数に埋め込まれている場合、意図しない情報漏えいになる可能性があります。

この報告を調査した結果、インシデントを報告したセキュリティ研究者によるアクセスのみが検出され、他のアクターからのアクセスは確認されませんでした。影響を受けるすべてのお客様に、Microsoft 365 管理センター (MC665159) を通じて、研究者によるアクセスについて通知しました。



修正リリース

マイクロソフトは、2023 年 6月 7 日に最初の修正プログラムをリリースし、大多数のお客様におけるこの問題を軽減しました。その後、2023 年 7 月 10 日に Tenable 社からの報告を調査したところ、論理的に削除された状態のごく一部のカスタム コードが依然として影響を受けていることが明らかになりました。この論理的な削除は、カスタム コネクタが誤って削除された場合に迅速な回復を可能にするための回復メカニズムとして存在します。マイクロソフトのエンジニアリングチームは、カスタムコード関数を使用している潜在的に残っている顧客に対する完全な緩和策を確実にし、検証するための措置を講じました。この作業は2023 年 8 月 2 日に完了しました。

セキュリティ更新プログラムの準備の一環として、私たちは徹底的な調査、更新プログラムの開発、互換性テストを含む広範なプロセスに従います。最終的に、セキュリティ更新プログラムの開発は、更新プログラムを適用する速度と安全性、および更新プログラムの品質との間で微妙なバランスをとる必要があります。あまりに移行が速すぎると、セキュリティの脆弱性からお客様が負うリスクよりも、(可用性の観点から) 顧客の混乱が大きくなる場合があります。猶予期間の目的は、質の高い修正のための時間を提供することです。すべての修正が同じではなく、非常に迅速に、そして安全に修正を適用できるものもあれば、時間を要する修正もあります。また、セキュリティ脆弱性の悪用からお客様を保護するために、アクティブな悪用が報告されたセキュリティ脆弱性を監視し、アクティブな悪用を発見した場合は迅速に対応します。サービス プロバイダーであると同時にセキュリティ企業でもあるマイクロソフトは、エコシステムの一部として、他のすべての目標よりも顧客の保護を最優先にしています。

また、マイクロソフトは、セキュリティ コミュニティによる脆弱性の調査と開示に感謝しています。責任ある調査と軽減は、お客様を保護するために重要であり、これには事実に基づいてプロセスを理解し、協力するという共通の責任が伴います。このプロセスから逸脱すると、お客様とコミュニティが過度なセキュリティリスクにさらされます。これまでと同様に、マイクロソフトの最優先事項はお客様を保護し、お客様に対して透明性を保つことであり、その使命は揺るぎません。



参考文献

How to implement authentication in Custom Connecters

よくある質問

Q: この不正な情報漏えいの影響を受けたかどうかはどうすればわかりますか?

A: マイクロソフトは、2023 年8 月 4 日以降、Microsoft 365 管理センター (MC665159) を通じて影響を受けるお客様にこの問題を通知しました。この通知を受け取らなかった場合、アクションは必要ありません。

Q: 組織に通知がされたかどうかはどうすればわかりますか?

A: マイクロソフトは、影響を受けるお客様に Microsoft 365 管理センターを通じて、データプライバシータグをつけ通知をしました。このデータプライバシータグがついている通知は、グローバル管理者ロール、またはメッセージ センターのプライバシー閲覧者ロールを持つユーザーのみが閲覧できます。これらのロールは、組織によって割り当てられます。ロールの詳細と割り当て方法については、こちらをご参照ください。

Next Post

Related Posts

How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.