2021年08月24日 10時30分 セキュリティ

3800万件分の個人情報がMicrosoftのツールから流出



Microsoftが提供する自然言語からコーディングして誰でも複雑なアプリケーションを作成できるようになるツール「Microsoft Power Apps」の管理ポータルサイトから、新型コロナウイルスワクチンの接種記録や社会保障番号などと関連付けられた個人情報3800万件がデータ漏えいしていたことが明らかになっています。



By Design: How Default Permissions on Microsoft Power Apps Exposed Millions | UpGuard

https://www.upguard.com/breaches/power-apps



Microsoft Spills 38 Million Sensitive Data Records Via Careless Power App Configs | Threatpost

https://threatpost.com/microsoft-38-million-sensitive-records-power-app/168885/



Microsoft Power Appsは「アプリ・サービス・コネクタスイート・データプラットフォームであり、ビジネスニーズに合わせたカスタムアプリを構築するための迅速な開発環境を提供するツール」と公式から説明されているツールで、開発者たちはこれを用いてローカルあるいはクラウドとデータを共有するアプリケーションを作成しています。





そんなMicrosoft Power Appsの管理ポータルサイトから機密情報が漏えいしていることを発見したのが、セキュリティプラットフォームのUpGuard。同社の研究チームによると、今回漏えいした機密データは「新型コロナウイルスのワクチン接種予約状況」「求職者の社会保障番号」「従業員ID」「数百万件分の名前とメールアドレスの組み合わせ」などさまざまで、Microsoft Power Appsを利用する47の企業から累計3800万件分の機密情報が漏えいしたと報告されています。



今回漏えいしたデータの中で特に詳細な内容が含まれているのは、アメリカン航空、フォード、インディアナ州保健局、ニューヨーク市の公立学校などのデータ。UpGuardはデータ漏えいしたもののうち、一部の詳細を以下のように明かしています。



アメリカン航空:

氏名・役職・電話番号・メールアドレスを含む個人情報リストが2つ漏えい。1つ目は39万8890件分、2つ目には47万400件分の個人情報が記載。



テキサス州デントン郡:

ワクチン接種に関する情報・ワクチンの予約日時・従業員ID・氏名・メールアドレス・電話番号・出生データを含む63万2171件分の個人情報が漏えい。このほか、氏名とワクチン接種に関する情報がセットになった40万91件分の個人情報と、氏名とメールアドレスがセットになった25万3844件分の個人情報も漏えい。



JBハント・トランスポート・サービシズ:

顧客の氏名・メールアドレス・住所・電話番号がセットになった90万5228件分の個人情報が漏えい。このうち25万件超の個人情報には社会保障番号も含まれている。



Microsoft独自のペイロールサービス:

氏名・電話番号・メールアドレスを含む、Microsoftの従業員および請負業者で働く人々の33万2000件分の個人情報が漏えい。





UpGuardによると、今回のデータ漏えいはMicrosoft Power Appsのオープンデータプロトコル(OData)とAPIをどのように両立させているかに関係しているとのこと。例えば、Microsoft Power Apps内で処理される一部のデータはパブリックである必要があり、その他の関連データセットはプライベートである必要があります。具体的には、新型コロナウイルスワクチン接種の予約サイトの場合、ワクチン接種場所や利用可能な予約時間などはパブリックとして扱い、ワクチン接種を受ける人々の個人情報などはプライベートとして扱う必要があります。



しかし、Microsoft Power Apps上でプライベートとして扱うべき機密情報の一部がアクセス可能な状態で保存されていることをUpGuardが発見しました。これはMicrosoft Power Appsの「プライベートとして扱っているデータでもODataフィードが有効になっている場合、データに自由にアクセスできてしまう」という仕様上の問題であるとUpGuardは指摘。



実際、Microsoft Power Appsユーザーの多くがODataの設定をミスし、機密情報を誰でもアクセスできる状態にしていたため、今回の大規模なデータ漏えいにつながっているわけです。





一方で、Microsoft側は今回のデータ漏えいについて、システムの脆弱性によるものとは考えておらず、あくまで構成上の問題であるとしています。Microsoftは問題解決のために、Microsoft Power Apps上のデータが漏えいしていないかをチェックするためのツールをリリースしており、さらにデータのアクセス許可設定をデフォルトで適用するという仕様変更を加える予定としています。