Microsoftのローコードアプリ開発ツールPower Appsポータルの設定ミスで約3800万件の個人情報漏えい
Microsoftのローコードアプリ開発スイート「Apower Apps」の「Power Appsポータル」で作成された47組織のアプリで、合計3800万件の個人情報がアクセス可能になっていたとUpGuardが報告した。脆弱性ではなく、初期設定のままツールを使うと公開する仕様になっていたため。Microsoftは初期設定を変更し、自己診断ツールを配布した。
米セキュリティ企業のUpGuardは8月23日(現地時間)、米Microsoftの「Power Appsポータル」で作成された47の組織のアプリで、合計3800万件に上る個人情報の漏えいがあったと発表した。
UpGuardは5月にこの問題を発見し、Microsoftおよびデータを漏えいさせていた企業には通知済み。アプリの脆弱性のせいではなく、ある機能を初期設定のまま使うとホストされているデータが公開されてしまう仕様になっていたためだ。
Power Appsは、Microsoftが「だれでもローコードのアプリをすばやく構築して共有できる」と謳う、クラウドホスト型BI(ビジネスインテリジェンス)アプリ作成スイート。Power Appsポータルは、外部に公開するウェブサイトを作成できるツール。
今回の情報漏えいは、Power Appsポータルのリストからデータを取得するためのOData APIを有効にすると、初期設定で匿名ユーザーでもリストデータに自由にアクセスできる仕様になっていたことが原因とUpGuardは指摘する。
Microsoftの公式ドキュメントには、設定を誤るとODataのフィードが公開されるという警告はあるが、Microsoft自身の複数のアプリでも設定が誤っていたとUpGuardは指摘する。
47組織には、American Airlines、Ford、ニューヨーク市交通局、Microsoftの複数のサイトが含まれ、新型コロナウイルス感染症の連絡先追跡に使用される個人情報、新型コロナワクチン接種の予約、求職者の社会保障番号、従業員ID、数百万の名前と電子メールアドレスなどにアクセスできた。
これらのデータが悪用された形跡は確認されていないとしている。
Microsoftはこの問題は脆弱性ではないとしているが、ユーザーがミスしないよう初期設定を変更し、ユーザーがPower Appsポータルを自己診断するためのツールを提供した。
【訂正:2021年8月24日午後9時50分 Power Appsの初期設定としていましたが、Power Appsポータルの初期設定、に修正しました。】
関連記事
- 文章をプログラミング言語に変換 Microsoftがローコード開発ツール「Power Apps」に「GPT-3」活用
米Microsoftが、ローコード開発ツール「Power Apps」に英文をプログラミング言語「Power Fx」に自動変換する機能を追加すると発表。変換には自然言語処理モデル「GPT-3」を活用。6月にプレビュー版を公開する。 - Excel関数ベースのプログラミング言語「Microsoft Power Fx」登場 オープンソースで公開予定
米Microsoftが、Excel関数をベースにしたプログラミング言語「Microsoft Power Fx」を発表した。Microsoft初のローコード開発向け言語で、Excelの数式の知識を使えるためプログラミングのハードルが下がるとしている。 - Microsoft、企業向けモバイルアプリ開発ツール「PowerApps」を正式公開
Microsoftが4月にプレビュー公開した企業向けアプリ開発ツール「Microsoft PowerApps」を公式版として公開した。「Office 365」および「Dynamics 365」利用企業は無料で利用できる。それ以外のユーザーは1人当たり月額760円で利用できる。月額4350円の上位プランもある。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.