ヘルスケア大手CVS Healthのデータ10億件以上が公開状態だったと判明

Charlie Osborne (ZDNET.com) 翻訳校正: 緒方亮 吉武稔夫 (ガリレオ)

2021-06-17 13:45

 またしてもクラウドサービスでセキュリティに影響する設定ミスだ。10億件を超えるCVS Healthの記録がオンラインに公開されていた。

 WebsitePlanetの研究チームと研究者のJeremiah Fowler氏は米国時間6月17日、ヘルスケアと薬剤を手がける米大手企業CVS Healthのオンラインデータベースを発見したことを明らかにした。データベースはパスワードで保護されておらず、承認のないアクセスを防ぐ認証プロセスはなかった。

 両者のチームがデータベースを調べたところ、CVS Healthに関連する10億件を超える記録が見つかった。CVS Healthは傘下にCVS PharmacyやAetnaなどのブランドを抱えている。

 データベースはサイズが204GBで、イベントデータや設定データが格納されており、そこには、訪問者ID、セッションID、同社ドメイン訪問者が使っているのが「iPhone」か「Android」機器かを示すデバイスアクセス情報などの「プロダクション記録」のほか、ロギングサービスがどのようにバックエンドで動いているかを示す情報が含まれていた。

 閲覧可能になっていた検索記録には、薬剤、新型コロナウイルスのワクチン、CVSのさまざまな製品などについてのクエリーが含まれていた。

 レポートでは、「仮定の話として、セッションIDを、検索内容やセッション中にショッピングカートに入れたものとマッチングさせ、閲覧可能になっていた電子メールを使って顧客を特定しようとすることができた可能性がある」としている。

 研究チームは、おそらくは検索バーからの意図しない送信でこのシステムに記録された電子メールを相互参照することによって、標的型フィッシングや、その他のアクションの相互参照にこのデータベースが使われた可能性があると述べている。CVS Healthと競合する企業も、このシステムで生成、記録された検索クエリーデータには関心を持ったかもしれない。

 チームがこの件をCVS Healthに非公開で通知したところ、同社は直ちにデータを保護した。

 CVS HealthはFowler氏に対し、このデータが同社のものだと認め、データベースは同社の代わりにあるベンダーが管理しているものだと伝えたという。

 CVS Healthは米ZDNetの取材に対して、「2021年3月にセキュリティ研究者から、CVS Healthの個人を識別できないメタデータを含むデータベースが、誰もがアクセスできる状態にあるとの報告を受けた」として、「直ちに調査し、サードパーティーのベンダーがホスティングしているそのデータベースに、顧客、会員、患者の個人情報が含まれていないことを確認した。データベースはベンダーと協力してすぐに停止した。この問題は再発しないようにベンダーと対処済みであり、報告してくれた研究者には感謝している」と語った。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. ビジネスアプリケーション

    急速に進むIT運用におけるAI・生成AIの活用--実態調査から見るユーザー企業の課題と将来展望

  5. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]