「Microsoft Power Apps」ポータルベースの数百のWebサイトが3800万件のレコードを無防備に公開：UpGuardが発見、Microsoftとサイト運営元に報告

Microsoftの「Power Apps」ポータルで構築された数百のWebサイトに保存されていた3800万件のレコードが、インターネット上で無防備に公開されていたことが明らかになった。

[＠IT]

　Microsoftの「Power Apps」ポータルで構築された数百のWebサイトに保存されていた3800万件のレコードが、インターネット上で無防備に公開されていたことをUpGuardが発表した。これを受け、セキュリティ企業ESETがこの発表をまとめ、解説した記事を公式ブログに掲載した。以下、内容を抄訳する。

　これらのレコードには、氏名や電子メールアドレス、社会保障番号など、個人を特定できる情報が含まれていた。こうしたデータがサイバー犯罪者の手に渡れば、フィッシングなどのソーシャルエンジニアリング攻撃やID窃盗といった違法行為に悪用される恐れがある。また、ダークWebで売買される可能性もある。

どのようなサイトでデータが公開されていたのか

　Power Appsポータルで構築され、これらのデータを保存していたWebサイトは、これらのデータについて、パブリックアクセスを許可するように構成されていた。Power Appsポータルは、誰でもレスポンシブWebサイトを構築し、社内外のユーザーが匿名で、または商用認証プロバイダーを使って、データにアクセスできるようにするツールだ。

　UpGuardは、「これらのWebサイトは、公開すべきではないデータまで公開するように誤って構成されていた」と説明した。同社はその一例として、新型コロナウイルス感染症のワクチン接種の予約サイトで、予約者のPII（個人を特定できる情報）のような機密情報が公開されていたことを挙げた。