またしてもクラウドサービスでセキュリティに影響する設定ミスだ。10億件を超えるCVS Healthの記録がオンラインに公開されていた。
WebsitePlanetの研究チームと研究者のJeremiah Fowler氏は米国時間6月17日、ヘルスケアと薬剤を手がける米大手企業CVS Healthのオンラインデータベースを発見したことを明らかにした。データベースはパスワードで保護されておらず、承認のないアクセスを防ぐ認証プロセスはなかった。
両者のチームがデータベースを調べたところ、CVS Healthに関連する10億件を超える記録が見つかった。CVS Healthは傘下にCVS PharmacyやAetnaなどのブランドを抱えている。
データベースはサイズが204GBで、イベントデータや設定データが格納されており、そこには、訪問者ID、セッションID、同社ドメイン訪問者が使っているのが「iPhone」か「Android」機器かを示すデバイスアクセス情報などの「プロダクション記録」のほか、ロギングサービスがどのようにバックエンドで動いているかを示す情報が含まれていた。
閲覧可能になっていた検索記録には、薬剤、新型コロナウイルスのワクチン、CVSのさまざまな製品などについてのクエリーが含まれていた。
レポートでは、「仮定の話として、セッションIDを、検索内容やセッション中にショッピングカートに入れたものとマッチングさせ、閲覧可能になっていた電子メールを使って顧客を特定しようとすることができた可能性がある」としている。
研究チームは、おそらくは検索バーからの意図しない送信でこのシステムに記録された電子メールを相互参照することによって、標的型フィッシングや、その他のアクションの相互参照にこのデータベースが使われた可能性があると述べている。CVS Healthと競合する企業も、このシステムで生成、記録された検索クエリーデータには関心を持ったかもしれない。
チームがこの件をCVS Healthに非公開で通知したところ、同社は直ちにデータを保護した。
CVS HealthはFowler氏に対し、このデータが同社のものだと認め、データベースは同社の代わりにあるベンダーが管理しているものだと伝えたという。
CVS Healthは米ZDNetの取材に対して、「2021年3月にセキュリティ研究者から、CVS Healthの個人を識別できないメタデータを含むデータベースが、誰もがアクセスできる状態にあるとの報告を受けた」として、「直ちに調査し、サードパーティーのベンダーがホスティングしているそのデータベースに、顧客、会員、患者の個人情報が含まれていないことを確認した。データベースはベンダーと協力してすぐに停止した。この問題は再発しないようにベンダーと対処済みであり、報告してくれた研究者には感謝している」と語った。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
