独占オンライン医療相談サービスである iCliniq は、公開アクセス可能な Amazon Web Services S3 バケットに何千もの医療文書を残しました。
iCliniqは今週初め、ドイツのセキュリティ研究者マティアス・グリウカ氏からこのミスを指摘され、オンラインサイロを閉鎖した。グリウカ氏は、同社に通知メールを送信したが何の返信もなかったため、El Reg社に連絡を取った。
インドに拠点を置くグローバルヘルススタートアップであるiCliniqは、ユーザーが医療に関する質問をプライベートに尋ね、医療記録を添付して医師に回答してもらうサービスを提供しています。しかし、iCliniqはこれらのプライベートな医療文書を、設定ミスのある公開されたAWS S3バケットに保存しており、誰でも閲覧できる可能性がありました。
グリフカ氏によると、このクラウドストレージボックスには、血液検査やHIV検査の情報など、約2万件の医療文書が含まれていたという。
バンコクからプーケットまで、人々は叫ぶ:ああ、バケツ!タイの携帯電話会社が4万6千人の個人情報を流出
続きを読む
Gliwka氏はicliniq.comのウェブサイトとS3バケット間のリンクを確立することに成功しました。ウェブサイトからアップロードしたテストファイルは、同じクラウドベースのシステム上に表示されました。
ドイツ人研究者は、2つ目の問題も発見しました。iCliniqはウェブアプリの権限チェックに失敗していたため、ユーザーは質問のID番号を推測するだけで、他のユーザーが投稿したすべての質問を閲覧できてしまうとのことです。技術的には、これはIDOR(Insecure Direct Object Reference:安全でない直接オブジェクト参照)脆弱性として知られています。
エル・レグ氏はグリウカ氏の調査結果を英国のセキュリティ研究者スコット・ヘルメ氏に伝えた。ヘルメ氏はすぐにiCliniqに重大な欠陥があったことを認めた。「一刻も早くこれを解決する必要がある」とヘルメ氏は語った。「バケットの修正はIDORの修正よりも容易なはずだが…どちらも改善が必要だ」
この確認を得たエル・レグは、グリウカ氏と共にiCliniqへの追及に乗り出した。これは容易なことではなかったが、iCliniqの最高経営責任者であるドゥルヴ・スヤンプラカサム氏に問題をエスカレーションすると、両方の問題はすぐに解決された。
iCliniqのデータ保護責任者であるシッダールト・パルティバン氏は、脆弱性に関する通知への対応を怠ったことについてグリウカ氏に謝罪した。社内調査の結果、インドの2つの地域、タミル・ナードゥ州とパンジャーブ州の患者の医療ファイルは、検査パートナーにのみ公開されるはずだったが、実際には一般公開されていたことが判明した。
「インドのこれらの地域用に取得されたS3フォルダは、非公開から変更されたに違いない」とパルティバン氏はメールで説明した。この点について反論されると、データ保護責任者はインドのデータのみが公開されていたと改めて主張した。「インドの2つの州(タミル・ナードゥ州とパンジャブ州)のファイルのみが公開されていたと断言します。他の地域/国/大陸のファイルは非公開でした/現在も公開されていません」とパルティバン氏はエル・レグ紙に語った。
iCliniqは問題を確認すると、これを最重要課題として扱い、機密性の高い医療データへのアクセスを速やかに制限しました。iCliniqは、グリウカ氏が例として挙げたデータの所有者である特定の患者に連絡すると約束しましたが、以前は安全性が低かった同じS3バケットにデータが保管されていた他の患者については、何の保証もしませんでした。
グリフカ氏は、水曜日に機密リポジトリにアクセスしようとしたが、アクセスが拒否されたことを認めた。
Amazon S3バケットをオンラインで公開しているのは誰?サイバー犯罪者、米国選挙の自動ダイヤラー
続きを読む
「Amazon S3バケットの内容は公開されなくなり、リンクを貼っている文書への直接リンクにもアクセスできなくなりました」とグリウカ氏はEl Regに語った。「他のユーザーのプライベートな質問を閲覧できるIDORの脆弱性も修正されました。」
グリウカ氏はiCliniqの対応に依然として不満を抱いている。彼はこの問題が地理的にインドに限定されていたとは考えておらず、この点についてiCliniqに異議を唱えた。
The Registerによると、ドイツのグリウカ氏と英国のスコット・ヘルメ氏の両研究者がアップロードしたテスト文書は、同社が修正を行う前に、公開されている同じAWS S3バケットに保存されていたという。グリウカ氏がこの点を指摘した際、iCliniqは「あなたのファイルは間違いなくあなただけがアクセスできる」と答えた。
違反警告
スタートアップは、セキュリティ上の不備によって個人情報が漏洩した可能性のあるすべての人に通知すべきです。グリウカ氏とヘルメ氏が問題の検証のためにアクセスした少数のファイルだけでなく、例としてファイルがメールで配布された患者だけに通知すべきではありません。明らかに、リポジトリに保存されていたファイル名さえも機密情報を漏洩させていたのです。
「適切なACL(アクセス制御リスト)を設定することでこれらのファイルを保護しようとしていたとは思いますが、それでも私は他のファイル、特にインド国外のデータ主体に関するファイルにアクセスできました」と、グリウカ氏はThe Registerに共有されたメールでiCliniqに語った。「ファイルリストには確かに機密情報が含まれていました。一部のファイル名には、患者名と医療検査/診断/処置名が組み合わされていました。例えば、john-doe-hiv-test.pdf、john-doe-cancer.pdf…といった具合です。ただ、実名が使われていました。」
同社は、ファイルは仮名であり、個人を特定できる情報ではないと述べた。
Gliwka 氏は次のように語っています。「システムはアップロード時に提供されたファイル名を使用し、ファイル ID、ユーザー ID、質問 ID、ランダムな値をプレフィックスとして付けてそのまま保存します。」
漏れやすいバケツ
Amazonがホストするクラウドストレージで機密データが一般公開される事例は決して珍しくありません。例えば、昨年は機密情報取扱資格を持つ米国市民の個人情報を含む数千件のファイルが漏洩しました。
それ以来、このような失敗は後を絶たず、収まる気配がありません。それだけでも十分に深刻な事態ですが、同時に、自動化されたスクリプトのおかげで、関係者がセキュリティ保護されていないS3バケットを見つけることが容易になりつつあることも、以前報告した通りです。
グリウカ氏は、機密性の高い漏洩を検出するツールの開発過程でiCliniqのバケットに遭遇した。彼はこれをサイドプロジェクトと呼んでいる。「この問題へのアプローチ方法を研究する中で、機密情報を含む多数のバケットに遭遇しました」と彼は語る。「ほとんどの企業はすぐにそれらを削除しました。」
英国の情報コミッショナー事務局は医療データの失態について報告を受けた。®
S3 バケットに漏れを発見しましたか? ご連絡いただければ、穴を塞ぐお手伝いもいたします。
