ヘルスケア大手CVS Healthのデータ10億件以上が公開状態だったと判明

Charlie Osborne (ZDNET.com) 翻訳校正: 緒方亮 吉武稔夫 (ガリレオ)

2021-06-17 13:45

 またしてもクラウドサービスでセキュリティに影響する設定ミスだ。10億件を超えるCVS Healthの記録がオンラインに公開されていた。

 WebsitePlanetの研究チームと研究者のJeremiah Fowler氏は米国時間6月17日、ヘルスケアと薬剤を手がける米大手企業CVS Healthのオンラインデータベースを発見したことを明らかにした。データベースはパスワードで保護されておらず、承認のないアクセスを防ぐ認証プロセスはなかった。

 両者のチームがデータベースを調べたところ、CVS Healthに関連する10億件を超える記録が見つかった。CVS Healthは傘下にCVS PharmacyやAetnaなどのブランドを抱えている。

 データベースはサイズが204GBで、イベントデータや設定データが格納されており、そこには、訪問者ID、セッションID、同社ドメイン訪問者が使っているのが「iPhone」か「Android」機器かを示すデバイスアクセス情報などの「プロダクション記録」のほか、ロギングサービスがどのようにバックエンドで動いているかを示す情報が含まれていた。

 閲覧可能になっていた検索記録には、薬剤、新型コロナウイルスのワクチン、CVSのさまざまな製品などについてのクエリーが含まれていた。

 レポートでは、「仮定の話として、セッションIDを、検索内容やセッション中にショッピングカートに入れたものとマッチングさせ、閲覧可能になっていた電子メールを使って顧客を特定しようとすることができた可能性がある」としている。

 研究チームは、おそらくは検索バーからの意図しない送信でこのシステムに記録された電子メールを相互参照することによって、標的型フィッシングや、その他のアクションの相互参照にこのデータベースが使われた可能性があると述べている。CVS Healthと競合する企業も、このシステムで生成、記録された検索クエリーデータには関心を持ったかもしれない。

 チームがこの件をCVS Healthに非公開で通知したところ、同社は直ちにデータを保護した。

 CVS HealthはFowler氏に対し、このデータが同社のものだと認め、データベースは同社の代わりにあるベンダーが管理しているものだと伝えたという。

 CVS Healthは米ZDNetの取材に対して、「2021年3月にセキュリティ研究者から、CVS Healthの個人を識別できないメタデータを含むデータベースが、誰もがアクセスできる状態にあるとの報告を受けた」として、「直ちに調査し、サードパーティーのベンダーがホスティングしているそのデータベースに、顧客、会員、患者の個人情報が含まれていないことを確認した。データベースはベンダーと協力してすぐに停止した。この問題は再発しないようにベンダーと対処済みであり、報告してくれた研究者には感謝している」と語った。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]