Microsoft、Azureの大規模障害はDDoS攻撃によるものと発表

　米Microsoftは7月31日（現地時間）、30日に世界の広い地域で「Microsoft 365」と「Azure」のサービスが停止した約9時間にわたった障害は、DDoS（分散型サービス拒否）攻撃によって引き起こされたと発表した。

　「最初のきっかけはDDoS攻撃で、これによりわれわれのDDoS防御機構が作動したが、初期調査の結果、この防御策の実装における誤りが攻撃の影響を軽減するどころか、むしろ増幅させたことがわかった」という。

　その後、ネットワーク構成の変更を実施し、代替ネットワークパスへのフェイルオーバーを実行して軽減策を講じたとしている。

　Microsoftは、今回の障害から得られた教訓を盛り込んだ予備的な事後レビューを72時間以内に、最終的な事後レビューを今後2週間以内に発表する予定だ。

「Microsoft 365」、DDoS攻撃でサービスが一時停止--現在は復旧

　Microsoftは米国時間7月30日、「Microsoft Teams」「Word」「Excel」「PowerPoint」「Outlook」「OneDrive」から成る「Microsoft 365」の一時停止を報告した。もっと具体的に言えば、Microsoft 365の管理センターと「Intune」「Entra ID」「Power Platform」「Power BI」が停止したが、「SharePoint Online」「OneDrive for Business」、Microsoft Teams、「Exchange Online」は影響を受けていない。いずれも東部時間午後3時43分に正常に戻ったとMicrosoftは報告している。

　インターネット障害を追跡している「Outages」のメーリングリストでは、管理者が「『OAuth』のリクエストは流れているが、速度がかなり遅い。ユーザー認証は可能だが、終了までに10分ほどかかるログインフローもあり、止まっているように見える場合もある」との報告を出した。

　Microsoftは30日、「X」（旧Twitter）への投稿でサービス停止を認め、詳細についてはユーザーを管理センターに誘導した。ただし、一部のXユーザーが指摘したように、管理センターもサービス停止の影響を受けているようだった。

　ソフトウェアマーケティング企業のZipDoによると、Microsoft 365のユーザー数は2億5800万人を超えるという。一方、Statistaは、Microsoft 365が世界で100万社以上の企業に利用されていると報告している。つまり、これは一大事だった。

　サービス停止の原因は何だったのだろうか？　セキュリティ専門家のKevin Beaumont氏は、ボットネットによる分散型サービス拒否（DDoS）攻撃が原因だと推測している。修正されるまでにサービス停止がこれほど長く続いた理由は、それで説明がつく。

　Microsoftはその後、それが事実だと認めたうえで次のように説明した。「予期せぬ使用量の急増により、『Azure Front Door』（AFD）および『Azure Content Delivery Network（CDN）』コンポーネントのパフォーマンスが許容しきい値を下回り、断続的なエラーやタイムアウト、および待機時間の急増が発生した」

　だが、それは始まりに過ぎなかった。Microsoftは「最初のきっかけはDDoS攻撃で、これによりDDoS保護メカニズムが発動されたが、初期調査の結果は、防御の実装におけるエラーによって攻撃の影響が軽減されずに拡大したことを示している」とも述べている。

　今後について、Microsoftは「今回の障害についてもっと詳しく理解するために」徹底的な社内調査を実施すると述べた。同社は2週間以内に詳細なレポートを公開すると約束した。