850万人の大規模検査後、インドの州政府サイトが新型コロナ検査結果を外部閲覧可能な状態に

次の記事

全世界9割の航空会社が使う旅客システム企業SITAがサイバー攻撃を受けて乗客データ流出

インドの西ベンガル州政府が運営するウェブサイトのセキュリティ上の欠陥により、新型コロナウイルス感染症検査を受けた少なくとも数十万人の住民の検査結果が誤って公開された。影響を受けた人数はおそらく数百万人にのぼると思われる。

このサイトは、西ベンガル州政府の大規模新型コロナウイルス検査プログラムの一部として運営されていた。新型コロナウイルス感染症の検査結果が出ると、州政府は患者に検査結果が記載された同サイトへのリンクをテキストメッセージで送る。

しかし、セキュリティ研究者のSourajeet Majumder(ソウラジート・マジュムダー)氏は、患者の固有の検査ID番号を含むリンクが、オンラインツールを使って簡単に変換できるbase64エンコード方式でスクランブルされていることを発見した。ID番号は増加していく連続番号だったため、このウェブサイトのバグにより、誰でもブラウザのアドレスバーでその番号を変更して、他の患者の検査結果を閲覧できるようになっていた。

検査結果には患者の名前、性別、年齢、住所、そして患者の新型コロナ検査結果が陽性、陰性、または決定的ではなかったかどうかが含まれている。

マジュムダー氏はTechCrunchに、悪意のある攻撃者がサイトをスクレイピングしてデータを販売することを懸念していると語った。「誰かが私の個人情報にアクセスした場合、これはプライバシーの侵害になります」。

西ベンガル州政府のウェブサイトにセキュリティ上の脆弱性があったことにより、新型コロナ検査の結果が露出された2件の例(スクリーンショット:TechCrunch)

マジュムダー氏がインドのサイバーセキュリティ緊急対応チーム(Indian Computer Emergency Response Team、CERT-In)に脆弱性を報告したところ、CERTはメールで問題を認めたという。同氏は西ベンガル州政府のウェブサイト管理者にも連絡したが、返答は得られなかった。TechCrunchは独自に脆弱性を確認し、ウェブサイトをオフラインにした西ベンガル政府にも連絡を試みたが、同州政府はコメントを差し控えた。

TechCrunchは脆弱性が修正されるか、リスクがなくなるまで報道を控えた。この記事の公開時点では、影響を受けたウェブサイトはオフライン状態が続いている。

このセキュリティ過失により、いったい何人の新型コロナ検査結果が公開されたのか、またマジュムダー氏以外の人物が脆弱性を発見したのかは不明だ。2021年2月末にウェブサイトがオフラインになった時点で、州政府は850万人以上の住民を対象に検査を実施していた。

西ベンガル州はインドで最も人口の多い州の1つで、約9000万人が同州に住んでいる。パンデミックが始まって以来、州政府は1万人以上の新型コロナウイルスによる死者を記録している。

今回のニュースは、ここ数カ月の間にインドと同国政府のパンデミック対策を襲ったいくつかのセキュリティ事件の最新のものだ。

2020年5月、インド最大の携帯電話ネットワークであるJioは、数カ月前に同社が立ち上げた新型コロナウイルス症状チェッカーを含むデータベースをセキュリティ研究者が発見したことを受け、セキュリティ過失を認めた

関連記事:Facebookも巨額出資するJio、新型コロナ症状チェッカーの結果を漏洩

2020年10月には、臨床検査会社のDr Lal PathLabsが、新型コロナウイルス検査を含む数百万件の患者の予約記録を含む数百枚のスプレッドシートを、パスワードで保護されていない公開ストレージサーバーに放置していたことをセキュリティ研究者が発見し、誰でも機密性の高い患者データにアクセスできるようになっていたことが判明した。

カテゴリー:セキュリティ
タグ:インドデータ漏洩コラム

画像クレジット:Diptendu Dutta / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)