「Microsoft Power Apps」ポータルベースの数百のWebサイトが3800万件のレコードを無防備に公開：UpGuardが発見、Microsoftとサイト運営元に報告

Microsoftの「Power Apps」ポータルで構築された数百のWebサイトに保存されていた3800万件のレコードが、インターネット上で無防備に公開されていたことが明らかになった。

[＠IT]

　Microsoftの「Power Apps」ポータルで構築された数百のWebサイトに保存されていた3800万件のレコードが、インターネット上で無防備に公開されていたことをUpGuardが発表した。これを受け、セキュリティ企業ESETがこの発表をまとめ、解説した記事を公式ブログに掲載した。以下、内容を抄訳する。

　これらのレコードには、氏名や電子メールアドレス、社会保障番号など、個人を特定できる情報が含まれていた。こうしたデータがサイバー犯罪者の手に渡れば、フィッシングなどのソーシャルエンジニアリング攻撃やID窃盗といった違法行為に悪用される恐れがある。また、ダークWebで売買される可能性もある。

どのようなサイトでデータが公開されていたのか

　Power Appsポータルで構築され、これらのデータを保存していたWebサイトは、これらのデータについて、パブリックアクセスを許可するように構成されていた。Power Appsポータルは、誰でもレスポンシブWebサイトを構築し、社内外のユーザーが匿名で、または商用認証プロバイダーを使って、データにアクセスできるようにするツールだ。

　UpGuardは、「これらのWebサイトは、公開すべきではないデータまで公開するように誤って構成されていた」と説明した。同社はその一例として、新型コロナウイルス感染症のワクチン接種の予約サイトで、予約者のPII（個人を特定できる情報）のような機密情報が公開されていたことを挙げた。

　この問題が発生していたPower AppsポータルベースのWebサイトは、米国の47の企業や自治体が構築したものだった。その中には、American Airlines、自動車メーカーのFord、物流企業のJ.B. Hunt、メリーランド州健康局、ニューヨーク市交通局、教育局、さらにはMicrosoftが含まれる。

　UpGuardは、PIIが保護されていないリストを含むPower Appsポータルベースのサイトを2021年5月24日に初めて発見した。続いてサイトオーナーに問題を知らせ、データのセキュリティが確保された。だが、この事例から、「セキュリティに不備があるPower Appsポータルベースのサイトがまだあるのではないか」と疑い、調査したところ、誤って構成されたサイトが大量に見つかった。

Microsoftの対応

　UpGuardは6月24日に、この問題に関する報告書をMicrosoft Security Resource Centerに提出した。さらに、「特に深刻な問題を抱えている」と判断したサイトの運営元にも連絡を取った。

　一方、Microsoftはこのインシデントに対応し、Power Appsポータルベースのサイトをユーザーが診断するためのツールをリリースした。

　また、「Table Permissions」を既定で有効にした。これは、ユーザーが見ることができるデータのリストへのアクセスに制限を掛けるものだ。

---

　インターネットに接続されたデータベースの誤構成によってデータが危険にさらされる事態は、以前から後を絶たない。最近も、数百万人分の患者の医療スキャンデータがオンラインで公開されてしまった事例や、数百万人分のホテル宿泊客のデータが漏えいした事例、FBIのTerrorist Screening Center（TSC）のテロリスト監視リストが3週間、オンラインで閲覧可能な状態になっていた事例などがある。