Microsoft Power Apps のセキュリティ設定が脆弱だったために、世界各地の何百万もの人々の個人データが公開されました。これは、プログラミングの知識がなくても、カスタマイズされたアプリケーションをクラウドで数時間で作成するために使用されるプラットフォームです。
サイバーセキュリティ企業 UpGuard によると、影響を受けた組織の中には、Microsoft Power Apps プラットフォームをさまざまな目的で使用していたいくつかの官民組織が含まれます。たとえば米国の場合、一部の機関はこれを新型コロナウイルス感染症ワクチン接種の予約に利用した。
その結果、アメリカ人の社会保障番号、名前、電話番号、電子メールアドレスなどの機密データがオンラインで公開されることになりました。しかし、この問題は民間の領域にも及び、アメリカン航空やマイクロソフト自体などの企業にも影響を及ぼした。
UpGuard からHipertextualに対し、3,800 万件のレコードの中には、ヨーロッパ、ラテンアメリカ、オセアニア、東アジア、南アジアの企業の顧客のレコードも含まれていることを指摘しました。ただし、これらのケースでは「CRM(顧客関係管理)タイプの連絡先コンテンツ」のみが公開されました。米国外でも影響を受けた政府機関はなかった。
Microsoft Power Apps の問題の原因は何ですか?
Microsoft Power Apps は、顧客が独自の Web アプリケーションやモバイル アプリケーションを簡単に作成できるようにすることを目的としています。その意味で、クライアントが収集したデータをニーズに応じて使用できるように、簡単なプログラミング インターフェイスを提供します。たとえば、シフト勤務表の管理などです。
この問題は、保存されたデータのデフォルト構成で発生しました。これらがテーブル モードで構成されている場合は、保護されていました。ただし、リスト モード (デフォルト設定) では、プライバシーが保護されないままになっていました。その結果、権限のないユーザーがアクセスする可能性がありました。
UpGuard は直ちにこの問題を Microsoft に報告しました。その後、レドモンドの研究者らは、これはセキュリティ上の欠陥ではなく、アプリケーションの機能によるものであるという結論に達しました。ただし、将来のプライバシー問題を回避するために、デフォルト設定が変更されました。
Hipertextualも Microsoft に連絡し、次のような声明を出しました。 「当社の製品は、さまざまなニーズに対応するスケーラブルなソリューションを設計するための柔軟性とプライバシー機能を顧客に提供します。 「当社はセキュリティとプライバシーを非常に重視しており、プライバシーのニーズに最も適した方法で製品を構成する際のベスト プラクティスをお客様に推奨しています。」
参考資料一覧
- https://www.upguard.com/breaches/power-apps