Microsoftの「Power Apps」ポータルで構築された数百のWebサイトに保存されていた3800万件のレコードが、インターネット上で無防備に公開されていたことが明らかになった。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Microsoftの「Power Apps」ポータルで構築された数百のWebサイトに保存されていた3800万件のレコードが、インターネット上で無防備に公開されていたことをUpGuardが発表した。これを受け、セキュリティ企業ESETがこの発表をまとめ、解説した記事を公式ブログに掲載した。以下、内容を抄訳する。
これらのレコードには、氏名や電子メールアドレス、社会保障番号など、個人を特定できる情報が含まれていた。こうしたデータがサイバー犯罪者の手に渡れば、フィッシングなどのソーシャルエンジニアリング攻撃やID窃盗といった違法行為に悪用される恐れがある。また、ダークWebで売買される可能性もある。
Power Appsポータルで構築され、これらのデータを保存していたWebサイトは、これらのデータについて、パブリックアクセスを許可するように構成されていた。Power Appsポータルは、誰でもレスポンシブWebサイトを構築し、社内外のユーザーが匿名で、または商用認証プロバイダーを使って、データにアクセスできるようにするツールだ。
UpGuardは、「これらのWebサイトは、公開すべきではないデータまで公開するように誤って構成されていた」と説明した。同社はその一例として、新型コロナウイルス感染症のワクチン接種の予約サイトで、予約者のPII(個人を特定できる情報)のような機密情報が公開されていたことを挙げた。
この問題が発生していたPower AppsポータルベースのWebサイトは、米国の47の企業や自治体が構築したものだった。その中には、American Airlines、自動車メーカーのFord、物流企業のJ.B. Hunt、メリーランド州健康局、ニューヨーク市交通局、教育局、さらにはMicrosoftが含まれる。
UpGuardは、PIIが保護されていないリストを含むPower Appsポータルベースのサイトを2021年5月24日に初めて発見した。続いてサイトオーナーに問題を知らせ、データのセキュリティが確保された。だが、この事例から、「セキュリティに不備があるPower Appsポータルベースのサイトがまだあるのではないか」と疑い、調査したところ、誤って構成されたサイトが大量に見つかった。
UpGuardは6月24日に、この問題に関する報告書をMicrosoft Security Resource Centerに提出した。さらに、「特に深刻な問題を抱えている」と判断したサイトの運営元にも連絡を取った。
一方、Microsoftはこのインシデントに対応し、Power Appsポータルベースのサイトをユーザーが診断するためのツールをリリースした。
また、「Table Permissions」を既定で有効にした。これは、ユーザーが見ることができるデータのリストへのアクセスに制限を掛けるものだ。
インターネットに接続されたデータベースの誤構成によってデータが危険にさらされる事態は、以前から後を絶たない。最近も、数百万人分の患者の医療スキャンデータがオンラインで公開されてしまった事例や、数百万人分のホテル宿泊客のデータが漏えいした事例、FBIのTerrorist Screening Center(TSC)のテロリスト監視リストが3週間、オンラインで閲覧可能な状態になっていた事例などがある。
Copyright © ITmedia, Inc. All Rights Reserved.