TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

HSEの設定ミスにより、アイルランド国民100万人超のワクチン接種状況が露出

AppOmniのセキュリティ研究者によると、COVIDパンデミック中にアイルランドの保健サービス執行部(HSE)が誤って設定したことにより、アイルランド国民100万人超の保護対象医療情報および個人情報が露出した。

この情報には個人のワクチン接種状況や接種した種類が含まれており、2021年末までにHSEのCOVIDワクチン接種ポータルに登録した人であれば誰でもアクセスできた可能性がある。

AppOmniのプリンシパルSaaSセキュリティエンジニアであるアーロン・コステロは、2024年3月14日付のブログで、ポータルの設定ミスによりHSEの内部文書も一般公開されていたことを明らかにした。

  • 氏名(フルネーム)
  • ワクチン接種予約日(過去/現在/未来)
  • ワクチン接種予約場所
  • ワクチン投与部位(ワクチンがどのように注射されたか)
  • ワクチンを投与した理由
  • ワクチン投与を拒否した理由
  • ワクチンの種類(ブランド/ロット(バッチ)番号/接種回数

コステロはこの問題を2021年12月に発見し、HSEは2022年1月17日に修正したと彼に確認した。

悪意を持つ無許可の人物がこの情報にアクセスしたことを示す証拠はない。

コステロは、SaaSアプリケーションで機微なデータを扱うリスクについて組織の教育に役立てるため、この問題を公表することにしたと説明した。

アイルランド国民の健康データが露出した経緯

HSEのワクチン接種ポータルは、COVID-19危機の最中に、アイルランド国民が迅速に接種予約を行えるよう作成され、利用者は自己登録フォームを通じてサインアップした。

このポータルはSalesforceプラットフォーム上に構築され、いわゆる「デジタルコミュニティ」として運用されていた。これらのコミュニティは、登録済みの全員に特定のプロファイルを付与するよう設定されており、そのプロファイルにより、ワクチン接種の登録や予約詳細の閲覧など、ポータルのユーザーインターフェース上での操作権限が与えられる。

しかしHSEは、他の登録者に関する情報(ワクチン接種状況を含む)を保存していたHealth Cloudオブジェクトへのアクセスを利用者に付与するよう、プロファイル権限を誤って設定していた。

また利用者には、HSE内部文書を含むフォルダにアクセスできる可能性のある過剰な権限も付与されていた。

コステロによれば、ポータルは個人のデータのみを表示するよう特別に設計されているため、ほとんどの利用者はこのレベルのアクセス権を持っていることに気づかなかっただろう。

しかし悪意ある行為者は、この設定ミスを悪用して、個人およびHSEに関する機微な情報にアクセスし、持ち出すことができた可能性がある。

コステロは、ワクチン接種ポータルに登録するだけで過剰権限のSalesforceプロファイルが自動的に割り当てられ、その後APIを通じてHealth Cloudアプリケーション内のものを含むSalesforceプラットフォーム上のすべてのオブジェクトを閲覧することで、これが実行できたと説明した。

そこから悪意ある行為者は、利用可能なオブジェクトの一覧を順にたどり、それらに含まれるデータへのアクセスとダウンロードを試みることができた。

「これにより、悪意ある人物はHSEの内部文書と、100万人超の個人に関するすべてのワクチン投与記録の両方にアクセスできたはずだ」とコステロは説明した。

Irish Timesは、設定ミスが発生していたことを認め、問題が通知された当日に是正したと述べたHSEの広報担当者のコメントを引用した。

同紙は、偶発的な露出の原因としてCOVID-19ワクチン接種プログラムの「時間的圧力」を挙げつつも、悪意ある行為者がデータにアクセスした証拠はないと改めて強調した。

Salesforceにおける設定ミスのリスクを軽減する方法

コステロは、Salesforceプラットフォーム上で一般公開コンテンツを提供している組織がデータ露出のリスクを避けるために取るべきベストプラクティスを提示した

  • 内部ユーザーおよび外部ユーザーに対して最小権限の原則を確立する
  • Salesforce内のアクセス付与要素について、権限モデルの定期的なレビューを実施する
  • プラットフォーム上に保存される機微なデータに分類(ラベリング)を実装する
  • Salesforceが提供するログを監視し、データ持ち出しの試行を検知する
  • アクセス制御を含め、プラットフォームの設定を定期的に監査する

コステロは、パンデミック下で全国的な急速なワクチン展開を管理するために奔走していた最中、これらの対応をHSEが手作業で実装するのは「非常に困難」だっただろうと認めた。

画像クレジット:Lukassec / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/hse-exposed-irish-vaccine-status/

ソース: infosecurity-magazine.com
#COVID-19 #HSE #SaaSセキュリティ #Salesforce #アイルランド #ワクチン接種状況 #個人情報漏えい #医療データ #最小権限の原則 #設定ミス(ミスコンフィギュレーション)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新