Microsoft Defenderで9ヶ月間のセキュリティテレメトリ欠落が発覚
Microsoftは2026年3月16日、メッセージセンター投稿(MC1253510)にて、Microsoft Defender for Cloud Apps(MDA) において2025年2月17日から11月17日までの約9ヶ月間、Entra IDのログインイベントが正常に取り込まれていなかったことを明らかにした。
何が起きたのか
2025年2月17日に導入されたコードの不具合により、Entra IDログインイベントの一部がMDAポータルへ流入しなくなった。Microsoftは2025年11月30日に修正を展開し、「影響を受けたすべてのEntra IDログインイベントの処理が復元された」としている。
データ自体はMicrosoftのサーバー上に保持されており、Entraポータルや高度なハンティングのEntraSignInEventsテーブルからはアクセス可能だったという。しかし問題は、MDAへデータを供給するパイプラインが機能していなかった点にある。
影響を受けた機能は以下のとおりだ。
- アクティビティの表示・アラート
- 高度なハンティング(Advanced Hunting)
- 異常検知(Anomaly Detection)
- Microsoft Sentinelとの統合(MDAデータパス経由)
- ファイルポリシー評価
つまり、ユーザーのサインイン行動を監視・分析するためにMDAを利用している組織が享受すべき機能のほぼ全域が、9ヶ月にわたって正常に動作していなかったことになる。
なぜ深刻なのか
クラウドサービスで短期的な障害が発生することは珍しくない。しかし9ヶ月という期間は到底「短期間」とは言えない。この長さは、データパイプラインに十分な監視が欠けていたか、監視はあっても誰も対応しなかったかのいずれかを示唆しており、どちらの解釈もセキュリティ製品として看過できない。
MDAはまさに「異常なサインインを検知し、組織を守る」ために導入される製品だ。その製品がテレメトリを正しく取得できていなければ、攻撃者はアラートを発生させることなく活動できてしまう。セキュリティ製品における不完全なテレメトリは、単なる不便ではなく根本的な機能不全を意味する。
開示タイミングにも疑問
さらに問題を深刻にしているのが、開示のタイミングだ。修正は2025年11月30日に完了していたにもかかわらず、顧客への告知は2026年3月16日——修正から約3ヶ月半後まで行われなかった。
Microsoftは「透明性とサービス信頼性へのコミットメントの一環」としての開示だと説明しているが、14週間もの遅延を「透明性」と呼ぶのには無理がある。
特に深刻なのは、2025年2月〜11月の間にMDAのサインインデータを使ってセキュリティ調査・コンプライアンスレビュー・監査対応を行った組織だ。それらの調査結果の妥当性は今や根本から問い直す必要がある。
組織が取るべき対応
Microsoftは「顧客側での追加対応は不要」としているが、それはパイプラインの修正という意味に限られる。実際には以下の対応を検討すべきだろう。
- 2025年2月〜11月の調査結果の再検証: この期間にMDAデータを基に行ったインシデント対応や監査結果は、Entraポータルの生データと照合して妥当性を確認する
- Entra IDの生ログとの突き合わせ:
EntraSignInEventsテーブルは影響を受けていないため、そちらで不審なサインインが見落とされていないか確認する - 今後のモニタリング強化: MDAのデータ取り込みが正常に機能していることを定期的に検証する仕組みを検討する
Microsoftはここ数年、セキュリティ強化を最優先課題として大々的にアピールしてきた。今回の件は、その取り組みが製品品質の全域に行き渡っているかどうかについて、改めて厳しい目を向けさせるものとなっている。
元記事: New Microsoft Defender Revelation Reopens Troubling Quality Questions