セキュリティ

3800万件分の個人情報がMicrosoftのツールから流出


Microsoftが提供する組織内と組織外のあらゆるユーザーがポータルを使用してMicrosoft Dataverse内のデータを操作できるようになるツール「Power Apps ポータル」から、新型コロナウイルスワクチンの接種記録や社会保障番号などと関連付けられた個人情報3800万件がデータ漏えいしていたことが明らかになっています。

By Design: How Default Permissions on Microsoft Power Apps Exposed Millions | UpGuard
https://www.upguard.com/breaches/power-apps

Microsoft Spills 38 Million Sensitive Data Records Via Careless Power App Configs | Threatpost
https://threatpost.com/microsoft-38-million-sensitive-records-power-app/168885/

Power Apps ポータルは「アプリ・サービス・コネクタスイート・データプラットフォームであり、ビジネスニーズに合わせたカスタムアプリを構築するための迅速な開発環境を提供するツール」と公式から説明されているツールで、開発者たちはこれを用いてローカルあるいはクラウドとデータを共有するアプリケーションを作成しています。


そんなPower Apps ポータルの管理ポータルサイトから機密情報が漏えいしていることを発見したのが、セキュリティプラットフォームのUpGuard。同社の研究チームによると、今回漏えいした機密データは「新型コロナウイルスのワクチン接種予約状況」「求職者の社会保障番号」「従業員ID」「数百万件分の名前とメールアドレスの組み合わせ」などさまざまで、Power Apps ポータルを利用する47の企業から累計3800万件分の機密情報が漏えいしたと報告されています。

今回漏えいしたデータの中で特に詳細な内容が含まれているのは、アメリカン航空、フォード、インディアナ州保健局、ニューヨーク市の公立学校などのデータ。UpGuardはデータ漏えいしたもののうち、一部の詳細を以下のように明かしています。

アメリカン航空:
氏名・役職・電話番号・メールアドレスを含む個人情報リストが2つ漏えい。1つ目は39万8890件分、2つ目には47万400件分の個人情報が記載。

テキサス州デントン郡:
ワクチン接種に関する情報・ワクチンの予約日時・従業員ID・氏名・メールアドレス・電話番号・出生データを含む63万2171件分の個人情報が漏えい。このほか、氏名とワクチン接種に関する情報がセットになった40万91件分の個人情報と、氏名とメールアドレスがセットになった25万3844件分の個人情報も漏えい。

JBハント・トランスポート・サービシズ:
顧客の氏名・メールアドレス・住所・電話番号がセットになった90万5228件分の個人情報が漏えい。このうち25万件超の個人情報には社会保障番号も含まれている。

Microsoft独自のペイロールサービス:
氏名・電話番号・メールアドレスを含む、Microsoftの従業員および請負業者で働く人々の33万2000件分の個人情報が漏えい。


UpGuardによると、今回のデータ漏えいはPower Apps ポータルのオープンデータプロトコル(OData)とAPIをどのように両立させているかに関係しているとのこと。例えば、Power Apps ポータル内で処理される一部のデータはパブリックである必要があり、その他の関連データセットはプライベートである必要があります。具体的には、新型コロナウイルスワクチン接種の予約サイトの場合、ワクチン接種場所や利用可能な予約時間などはパブリックとして扱い、ワクチン接種を受ける人々の個人情報などはプライベートとして扱う必要があります。

しかし、Power Apps ポータル上でプライベートとして扱うべき機密情報の一部がアクセス可能な状態で保存されていることをUpGuardが発見しました。これはPower Apps ポータルの「プライベートとして扱っているデータでもODataフィードが有効になっている場合、データに自由にアクセスできてしまう」という仕様上の問題であるとUpGuardは指摘。

実際、Power Apps ポータルユーザーの多くがODataの設定をミスし、機密情報を誰でもアクセスできる状態にしていたため、今回の大規模なデータ漏えいにつながっているわけです。


一方で、Microsoft側は今回のデータ漏えいについて、システムの脆弱性によるものとは考えておらず、あくまで構成上の問題であるとしています。Microsoftは問題解決のために、Power Apps ポータル上のデータが漏えいしていないかをチェックするためのツールをリリースしており、さらにデータのアクセス許可設定をデフォルトで適用するという仕様変更を加える予定としています。

この記事のタイトルとURLをコピーする

・関連記事
Microsoftが過去14年間・2億5000万件分のカスタマーサービスの記録をネット上に流出させてしまったことが判明 - GIGAZINE

Windows 10のユーザー追跡データ公開で再燃するプライバシー問題 - GIGAZINE

Windows 10はプライバシー設定をオフにしてもMicrosoftのサーバにデータを送信していることが判明 - GIGAZINE

強制捜査で顧客データにアクセスされたことを顧客に通知できない電子通信プライバシー法は憲法違反だとMicrosoftが政府を提訴 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by logu_ii

You can read the machine translated English article here.