編集部からのお知らせ
新着・電子インボイスの記事まとめ
記事まとめDL:オンライン確認「eKYC」

ヘルスケア大手CVS Healthのデータ10億件以上が公開状態だったと判明

Charlie Osborne (ZDNet.com) 翻訳校正: 緒方亮 吉武稔夫 (ガリレオ)

2021-06-17 13:45

 またしてもクラウドサービスでセキュリティに影響する設定ミスだ。10億件を超えるCVS Healthの記録がオンラインに公開されていた。

 WebsitePlanetの研究チームと研究者のJeremiah Fowler氏は米国時間6月17日、ヘルスケアと薬剤を手がける米大手企業CVS Healthのオンラインデータベースを発見したことを明らかにした。データベースはパスワードで保護されておらず、承認のないアクセスを防ぐ認証プロセスはなかった。

 両者のチームがデータベースを調べたところ、CVS Healthに関連する10億件を超える記録が見つかった。CVS Healthは傘下にCVS PharmacyやAetnaなどのブランドを抱えている。

 データベースはサイズが204GBで、イベントデータや設定データが格納されており、そこには、訪問者ID、セッションID、同社ドメイン訪問者が使っているのが「iPhone」か「Android」機器かを示すデバイスアクセス情報などの「プロダクション記録」のほか、ロギングサービスがどのようにバックエンドで動いているかを示す情報が含まれていた。

 閲覧可能になっていた検索記録には、薬剤、新型コロナウイルスのワクチン、CVSのさまざまな製品などについてのクエリーが含まれていた。

 レポートでは、「仮定の話として、セッションIDを、検索内容やセッション中にショッピングカートに入れたものとマッチングさせ、閲覧可能になっていた電子メールを使って顧客を特定しようとすることができた可能性がある」としている。

 研究チームは、おそらくは検索バーからの意図しない送信でこのシステムに記録された電子メールを相互参照することによって、標的型フィッシングや、その他のアクションの相互参照にこのデータベースが使われた可能性があると述べている。CVS Healthと競合する企業も、このシステムで生成、記録された検索クエリーデータには関心を持ったかもしれない。

 チームがこの件をCVS Healthに非公開で通知したところ、同社は直ちにデータを保護した。

 CVS HealthはFowler氏に対し、このデータが同社のものだと認め、データベースは同社の代わりにあるベンダーが管理しているものだと伝えたという。

 CVS Healthは米ZDNetの取材に対して、「2021年3月にセキュリティ研究者から、CVS Healthの個人を識別できないメタデータを含むデータベースが、誰もがアクセスできる状態にあるとの報告を受けた」として、「直ちに調査し、サードパーティーのベンダーがホスティングしているそのデータベースに、顧客、会員、患者の個人情報が含まれていないことを確認した。データベースはベンダーと協力してすぐに停止した。この問題は再発しないようにベンダーと対処済みであり、報告してくれた研究者には感謝している」と語った。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 運用管理

    マンガでわかる「ルール駆動開発」レガシーモダナイズを成功させる開発手法を基礎から理解する

  2. 経営

    5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは

  3. セキュリティ

    APIエコシステムを狙うサイバー攻撃が急増、Webアプリにおける最新のAPIセキュリティ対策とは?

  4. セキュリティ

    クラウドやコンテナ利用が増える中、世界の企業が利用するAPI経由の安全なアプリ構築手法とは?

  5. マーケティング

    ウェビナーによる営業活動が本格化、顧客接点が増加する一方で見えてきたハードルと解決策とは?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]