38 Million Records Exposed from Microsoft Power Apps of Dozens of Organisations
2021/08/24 The Hacker News — Microsoft のポータル・プラットフォーム Power Apps を利用している、47の事業体の 3,800万件以上の記録が、誤ってオンライン上に公開されており、データ流出の新たなベクトルが浮き彫りになった。UpGuard Research のチームは、「データの種類はポータルごとに異なるが、COVID-19 のコンタクト追跡に用いられる個人情報および、COVID-19 ワクチン接種の予約、就職希望者の社会保障番号、従業員 ID、数百万人の氏名と電子メールアドレスなどが含まれていた」と、月曜日に行われた情報開示の中で述べている。
インディアナ州、メリーランド州、ニューヨーク市などの政府機関および、American Airlines、Ford、J.B. Hunt、Microsoft などの民間企業が、影響を受けたと言われている。公開された最も機密性の高い情報の中には、Microsoft のグローバルな給与計算サービスで使用されている、33万2,000件の電子メールアドレスと従業員 ID および、Business Tools Support and Mixed Reality に関連する、8万5,000件以上の記録が含まれていた。
Power Apps は、Microsoft が提供する開発プラットフォームであり、あらかじめ用意されたテンプレートを利用して、Mobile や Web で動作する Low Code のカスタム・ビジネス・アプリを構築できる。また、情報の取得や保存のオプションなどを含めて、他のアプリケーションからのデータ・アクセスを可能にする API を提供している。このサービスについて同社は、「アプリとサービスとコネクターのスイートであることに加えて、ビジネス・ニーズに合わせたカスタム・アプリを構築するための、迅速な開発環境を提供する」と説明している。
しかし、ポータルにおいて、データを共有/保存する方法の設定を誤ると、機密データへのアクセスが一般からも可能な状態になり、結果的にはデータ漏えいにつながる可能性が生じる。研究者たちは、「Power Apps のポータルには、データを共有するためのオプションが組み込まれているが、本質的に機密性の高いデータ・タイプも組み込まれている。COVID-19 予防接種の登録ページのようなケースでは、予防接種会場の場所や予約可能な時間のような公開すべきデータタイプと、予防接種を受ける人の個人識別情報のような非公開にすべき機密データが存在する」と述べている。
2021年6月24日に UpGuard は、Microsoftにデータ漏えいを通知したが、イニシャル・ケースをクローズしたと述べるのみだった。同社のスタンスを引用するなら、「この動作はデザイン上のもの」となるが、7月15日になって、このセキュリティ会社から提出された不正使用の報告を受け、政府のクラウド顧客に対して問題を警告する措置が講じられた。また、Microsoft は Portal Checker というツールをリリースし、構成ミスの原因として生じる潜在的な露出を診断するとしている。新しく作成されたポータルでは、Enable Table Permissions 設定に関係なく、すべてのフォームとリストに対して、テーブルへのアクセス許可が適用されるよう変更したとのことだ。
研究者たちは、「今回の問題について、厳密にはソフトウェアの脆弱性ではないという Microsoft の立場を理解 (同意) するが、この製品に対するコード変更を必要とするプラットフォームの問題であるため、脆弱性と同じワーク・ストリームに入るべきで」と指摘している。彼らは、「観察されたユーザーの行動に応じて製品を変更する方が、データの機密性の体系的な喪失や、エンドユーザーの設定ミスにラベルを付けるよりも、優れたソリューションである。後者のソリューションは、問題の持続を生み出し、エンドユーザーをデータ侵害のサイバー・セキュリティ・リスクに、エンドユーザーをさらすことになる」と述べている。
Microsoft Power Apps ってなんだろうと思い、調べてみたら 2020 Gartner Magic Quadrant for Enterprise Low Code Application Platforms にありました。カテゴリは、Low Code Application Platforms とのことであり、Salesforce や ServiceNow などの有名所と競い合っているようです。 PaaS との位置関係が微妙ですが、そのスコープに入る概念だと感じます。このところ、脆弱性じゃないと言われてしまう、クラウドの脆弱性の問題が気になっています。よろしければ、「Black Hat 2021:クラウドの脆弱性にも CVE アプローチが必要なのか?」と「Salesforce Communities の設定ミスが顧客やパートナーにリスクをもたらす」をご参照ください。なかなか面白いです。それと、ここに Ford が入っているのが気になります。
IoT OT Security News 