「Microsoft Power Apps」の設定ミスで3800万件の個人情報が流出

　情報セキュリティ企業UpGuardによると、アプリ開発ツール「Microsoft Power Apps」の設定ミスにより、新型コロナワクチンの接種予約に使われた個人情報、社会保障番号、氏名、メールアドレスなどの機密データが流出したという。

　UpGuardの研究チームは米国時間8月23日、外部からアクセスできるよう設定されたMicrosoft Power Appsポータルを通じて複数のデータ流出があり、計3800万件のデータレコードが漏えいしたことを明らかにした。

　これらのデータ流出により、American Airlines、Microsoft、J.B. Hunt、およびインディアナ州、メリーランド州、ニューヨーク市の政府組織が影響を受けた。UpGuardは5月24日に初めて、Power Appsポータル向けの「OData API」を通して個人情報がアクセス可能になっている問題を発見し、アプリの所有者に報告。その後の調査を経て6月24日に脆弱性レポートをMicrosoftに提出した。

　UpGuardによると、大きな問題は、個人を特定できる情報など一部のデータを非公開にしておくべき場合でもすべての種類のデータが公開されていた点だという。設定ミスが、一部のプライベートデータの公開につながった。Microsoftはこの対策としてPower Appsポータルのチェックツールを提供するとともに、デフォルトの設定を変更した。

　Microsoft Power Appsは、アプリの設計、公開ウェブサイトおよび非公開ウェブサイトの作成に用いられるローコードツール。