「Microsoft Power Apps」の設定ミスで3800万件の個人情報が流出

Larry Dignan (ZDNET.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)2021年08月24日 13時22分

 情報セキュリティ企業UpGuardによると、アプリ開発ツール「Microsoft Power Apps」の設定ミスにより、新型コロナワクチンの接種予約に使われた個人情報、社会保障番号、氏名、メールアドレスなどの機密データが流出したという。

 UpGuardの研究チームは米国時間8月23日、外部からアクセスできるよう設定されたMicrosoft Power Appsポータルを通じて複数のデータ流出があり、計3800万件のデータレコードが漏えいしたことを明らかにした

 これらのデータ流出により、American Airlines、Microsoft、J.B. Hunt、およびインディアナ州、メリーランド州、ニューヨーク市の政府組織が影響を受けた。UpGuardは5月24日に初めて、Power Appsポータル向けの「OData API」を通して個人情報がアクセス可能になっている問題を発見し、アプリの所有者に報告。その後の調査を経て6月24日に脆弱性レポートをMicrosoftに提出した。

 UpGuardによると、大きな問題は、個人を特定できる情報など一部のデータを非公開にしておくべき場合でもすべての種類のデータが公開されていた点だという。設定ミスが、一部のプライベートデータの公開につながった。Microsoftはこの対策としてPower Appsポータルのチェックツールを提供するとともに、デフォルトの設定を変更した。

 Microsoft Power Appsは、アプリの設計、公開ウェブサイトおよび非公開ウェブサイトの作成に用いられるローコードツール。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]