Microsoftのローコードアプリ開発ツールPower Appsポータルの設定ミスで約3800万件の個人情報漏えい

[ITmedia]

　米セキュリティ企業のUpGuardは8月23日（現地時間）、米Microsoftの「Power Appsポータル」で作成された47の組織のアプリで、合計3800万件に上る個人情報の漏えいがあったと発表した。

　UpGuardは5月にこの問題を発見し、Microsoftおよびデータを漏えいさせていた企業には通知済み。アプリの脆弱性のせいではなく、ある機能を初期設定のまま使うとホストされているデータが公開されてしまう仕様になっていたためだ。

　Power Appsは、Microsoftが「だれでもローコードのアプリをすばやく構築して共有できる」と謳う、クラウドホスト型BI（ビジネスインテリジェンス）アプリ作成スイート。Power Appsポータルは、外部に公開するウェブサイトを作成できるツール。

MicrosoftのPower Appsはプログラミングの知識がなくてもアプリを構築できるサービス

　今回の情報漏えいは、Power Appsポータルのリストからデータを取得するためのOData APIを有効にすると、初期設定で匿名ユーザーでもリストデータに自由にアクセスできる仕様になっていたことが原因とUpGuardは指摘する。

　Microsoftの公式ドキュメントには、設定を誤るとODataのフィードが公開されるという警告はあるが、Microsoft自身の複数のアプリでも設定が誤っていたとUpGuardは指摘する。

OData APIの警告

　47組織には、American Airlines、Ford、ニューヨーク市交通局、Microsoftの複数のサイトが含まれ、新型コロナウイルス感染症の連絡先追跡に使用される個人情報、新型コロナワクチン接種の予約、求職者の社会保障番号、従業員ID、数百万の名前と電子メールアドレスなどにアクセスできた。

　これらのデータが悪用された形跡は確認されていないとしている。

　Microsoftはこの問題は脆弱性ではないとしているが、ユーザーがミスしないよう初期設定を変更し、ユーザーがPower Appsポータルを自己診断するためのツールを提供した。

【訂正：2021年8月24日午後9時50分　Power Appsの初期設定としていましたが、Power Appsポータルの初期設定、に修正しました。】