ITmedia NEWS > STUDIO >
速報
» 2021年08月24日 09時40分 公開

Microsoftのローコードアプリ開発ツールPower Appsポータルの設定ミスで約3800万件の個人情報漏えい

Microsoftのローコードアプリ開発スイート「Apower Apps」の「Power Appsポータル」で作成された47組織のアプリで、合計3800万件の個人情報がアクセス可能になっていたとUpGuardが報告した。脆弱性ではなく、初期設定のままツールを使うと公開する仕様になっていたため。Microsoftは初期設定を変更し、自己診断ツールを配布した。

[ITmedia]

 米セキュリティ企業のUpGuardは8月23日(現地時間)、米Microsoftの「Power Appsポータル」で作成された47の組織のアプリで、合計3800万件に上る個人情報の漏えいがあったと発表した。

 UpGuardは5月にこの問題を発見し、Microsoftおよびデータを漏えいさせていた企業には通知済み。アプリの脆弱性のせいではなく、ある機能を初期設定のまま使うとホストされているデータが公開されてしまう仕様になっていたためだ。

 Power Appsは、Microsoftが「だれでもローコードのアプリをすばやく構築して共有できる」と謳う、クラウドホスト型BI(ビジネスインテリジェンス)アプリ作成スイート。Power Appsポータルは、外部に公開するウェブサイトを作成できるツール。

 power apps MicrosoftのPower Appsはプログラミングの知識がなくてもアプリを構築できるサービス

 今回の情報漏えいは、Power Appsポータルのリストからデータを取得するためのOData APIを有効にすると、初期設定で匿名ユーザーでもリストデータに自由にアクセスできる仕様になっていたことが原因とUpGuardは指摘する。

 Microsoftの公式ドキュメントには、設定を誤るとODataのフィードが公開されるという警告はあるが、Microsoft自身の複数のアプリでも設定が誤っていたとUpGuardは指摘する。

 power apps 2 OData APIの警告

 47組織には、American Airlines、Ford、ニューヨーク市交通局、Microsoftの複数のサイトが含まれ、新型コロナウイルス感染症の連絡先追跡に使用される個人情報、新型コロナワクチン接種の予約、求職者の社会保障番号、従業員ID、数百万の名前と電子メールアドレスなどにアクセスできた。

 これらのデータが悪用された形跡は確認されていないとしている。

 Microsoftはこの問題は脆弱性ではないとしているが、ユーザーがミスしないよう初期設定を変更し、ユーザーがPower Appsポータルを自己診断するためのツールを提供した。

【訂正:2021年8月24日午後9時50分 Power Appsの初期設定としていましたが、Power Appsポータルの初期設定、に修正しました。】



Copyright © ITmedia, Inc. All Rights Reserved.