ニュース
» 2021年08月26日 16時00分 公開

「Microsoft Power Apps」ポータルベースの数百のWebサイトが3800万件のレコードを無防備に公開UpGuardが発見、Microsoftとサイト運営元に報告

Microsoftの「Power Apps」ポータルで構築された数百のWebサイトに保存されていた3800万件のレコードが、インターネット上で無防備に公開されていたことが明らかになった。

[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 Microsoftの「Power Apps」ポータルで構築された数百のWebサイトに保存されていた3800万件のレコードが、インターネット上で無防備に公開されていたことをUpGuardが発表した。これを受け、セキュリティ企業ESETがこの発表をまとめ、解説した記事を公式ブログに掲載した。以下、内容を抄訳する。

 これらのレコードには、氏名や電子メールアドレス、社会保障番号など、個人を特定できる情報が含まれていた。こうしたデータがサイバー犯罪者の手に渡れば、フィッシングなどのソーシャルエンジニアリング攻撃やID窃盗といった違法行為に悪用される恐れがある。また、ダークWebで売買される可能性もある。

どのようなサイトでデータが公開されていたのか

 Power Appsポータルで構築され、これらのデータを保存していたWebサイトは、これらのデータについて、パブリックアクセスを許可するように構成されていた。Power Appsポータルは、誰でもレスポンシブWebサイトを構築し、社内外のユーザーが匿名で、または商用認証プロバイダーを使って、データにアクセスできるようにするツールだ。

 UpGuardは、「これらのWebサイトは、公開すべきではないデータまで公開するように誤って構成されていた」と説明した。同社はその一例として、新型コロナウイルス感染症のワクチン接種の予約サイトで、予約者のPII(個人を特定できる情報)のような機密情報が公開されていたことを挙げた。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。