専門家によると、マイクロソフト社(マイクソ)のポータルプラットフォーム「Power Apps」を使用した1000以上のウェブアプリから約3800万件の記録がオンラインでアクセス可能な状態で放置されていたとのことです。武漢ウイルス(COVID-19)の連絡先追跡業務、ワクチン登録、従業員データベースなどのデータ(自宅の住所、電話番号、社会保障番号、ワクチン接種状況など)が記録に含まれていたと考えられます。
今回の事件では、アメリカン航空、フォード、J.B.ハント、メリーランド州保健局、ニューヨーク市都市交通局、ニューヨーク市公立学校など、大手企業・団体が影響を受けました。これらのデータ流出事件はすでに修正されていますが、広く使われているプラットフォームでのたった一つの誤った構成設定が、いかに広範囲に影響を及ぼすかを示しています。
ユーザーはPower Appsのサービスを利用して、独自のウェブアプリやモバイルアプリを簡単に作成することができます。Power Appsは、収集したデータを使用するためのアプリケーション・プログラミング・インターフェース(API)を開発者に提供します。しかし、セキュリティ企業のUpguard社は、これらのAPIにアクセスすると、Power Appsポータルで受信したデータがデフォルトで公開され、情報を非公開にするためには手動で再設定する必要があることを発見しました。
Upguard社は、2021年5月にこの問題の調査を開始し、秘密にされていた複数のPower Appsポータルのデータが、誰にでもアクセス可能であることを発見しました。Upguard社によると、2021年6月24日にMicrosoft Security Resource Centerに脆弱性レポートを提供し、その中には機密データが公開されているPower Appsポータルアカウントへのリンクや、匿名でのデータアクセスを可能にするAPIを発見する方法が含まれていました。
「しかし、機密情報を公開しているアカウントの数を見ると、この機能のリスク、つまり設定ミスの可能性と影響が十分に認識されていないことがわかります。「複数の政府機関が、アプリのセキュリティレビューを行ったが、この問題を発見できなかったと報告しています。これは、データセキュリティ上の懸念事項として十分に公表されたことがなかったためと思われます。
マイクソの担当者は、同社が影響を受けたユーザーと直接協力して、データが非公開であることを保証し、データが公開された場合には消費者に通知したと述べ、同製品のセキュリティを擁護しました。マイクソの広報担当者は声明の中で、「当社の製品は、顧客に柔軟性とプライバシー機能を提供し、多様なニーズを満たす拡張可能なソリューションを設計することができます」と述べています。