昨日、数百人のMicrosoft顧客が目覚めると、受信トレイに他の顧客からのAzure請求書が何百通も届いていました。各顧客には、自身の請求書だけでなく、他の顧客宛ての請求書が何十通も届いていました。
私たちに警告を発した Microsoft の再販業者は、昨日の朝目覚めると、受信トレイに 187 通の電子メールがあり、すべて未明に送信されたものでした。
マイクロソフトのパートナーが受け取った187通のメールのうちの1通
各メールには、顧客の詳細、注文番号、請求書が適用される Azure サブスクリプション ID を示す請求書が添付されていました。
各メールに添付された Azure in Open 請求書
この請求書は、Azure in Open に関連するものです。Azure in Open は、クラウド リセラー/インテグレーターが Azure クレジットを購入し、それを顧客アカウントに適用することで、取引でわずかな利益を得ることができるライセンス スキームです。
この問題が起きた原因は、一部のAzure in Openパートナー向けのMicrosoftの請求システムにおいて、各顧客に1通ずつではなく、187通の請求書をすべての顧客に送付していたことにあるようです。これは小規模な顧客を対象としたシステムであるため、通常、これらの請求書は少額です。
直ちにセキュリティ上のリスクとなるわけではないが、このデータ漏洩はマイクロソフトにとって恥ずべきことであり、より多くのビジネスを求めて誰に連絡を取ればよいか、あるいは Azure 関連のフィッシング攻撃に対して特に脆弱な電子メール アドレスについて、誰かに手がかりを与える可能性がある。
マイクロソフトはその後、影響を受けた企業に電子メールで「請求システムの運用上の変更により、Azure in Open (AiO) サブスクリプションに関連付けられた請求書が誤って別の顧客と共有されました」と伝え、「他の AiO 顧客の請求書も誤って受け取っている可能性があります」と付け加えた。
同社は、エンジニアが請求書の作成と配布に関するトラブルを修正し、受信者に他人宛ての請求書を削除するよう依頼したと発表した。まあ、その通りだ。®
