ニュース
「Microsoft Power Apps」ポータルベースの数百のWebサイトが3800万件のレコードを無防備に公開:UpGuardが発見、Microsoftとサイト運営元に報告
Microsoftの「Power Apps」ポータルで構築された数百のWebサイトに保存されていた3800万件のレコードが、インターネット上で無防備に公開されていたことが明らかになった。
Microsoftの「Power Apps」ポータルで構築された数百のWebサイトに保存されていた3800万件のレコードが、インターネット上で無防備に公開されていたことをUpGuardが発表した。これを受け、セキュリティ企業ESETがこの発表をまとめ、解説した記事を公式ブログに掲載した。以下、内容を抄訳する。
これらのレコードには、氏名や電子メールアドレス、社会保障番号など、個人を特定できる情報が含まれていた。こうしたデータがサイバー犯罪者の手に渡れば、フィッシングなどのソーシャルエンジニアリング攻撃やID窃盗といった違法行為に悪用される恐れがある。また、ダークWebで売買される可能性もある。
どのようなサイトでデータが公開されていたのか
Power Appsポータルで構築され、これらのデータを保存していたWebサイトは、これらのデータについて、パブリックアクセスを許可するように構成されていた。Power Appsポータルは、誰でもレスポンシブWebサイトを構築し、社内外のユーザーが匿名で、または商用認証プロバイダーを使って、データにアクセスできるようにするツールだ。
UpGuardは、「これらのWebサイトは、公開すべきではないデータまで公開するように誤って構成されていた」と説明した。同社はその一例として、新型コロナウイルス感染症のワクチン接種の予約サイトで、予約者のPII(個人を特定できる情報)のような機密情報が公開されていたことを挙げた。
関連記事
私の秘密、勝手に公開設定に変更しないでください
情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第29列車は、「クラウドサービスの設定不備」です。
IaaSの設定ミスによる脆弱性を減らす「CSPM」(Cloud Security Posture Management)とは?
主にIaaS利用における「設定ミス」を防ぎ、想定外の事態を起こさないための仕組み「CSPM(Cloud Security Posture Management:クラウドセキュリティ状態管理」)に関心が集まっている。概要や必要性、使いどころ、他のリューションとの違いなどをガートナーのアナリストに聞いた。
クラウド全面移行目前、DeNAが324のセキュリティ監査項目を8割減できた理由
DeNAは各種サービスのインフラ基盤のクラウド移行を進めており、クラウドセキュリティの対策が重要になってきていた。オンプレミス時代から実施している社内のセキュリティ監査の取り組みを、クラウドに適用した方法と、そこで見えてきた課題などが明かされた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.