事故から学ぶ

カナダのワクチンパスポートアプリ、個人情報流出の可能性

事故概要

業種 民間企業
発生時期 【情報】
漏えい人数
事故概要

【情報】Malwarebytes Labsは9月29日(現地時間)、「Vaccine passport app leaks users’ personal data」において、カナダのワクチンパスポートアプリ「Portpass」においてユーザーの個人情報が一定期間公開されていた可能性があると伝えている。報道によれば、PortpassのWebサイトにおいて、一般ユーザーが他のユーザーのプロフィールにアクセスして、メールアドレスや名前、身分証明書の写真などを閲覧することができる状態になっていたという。
Portpassはカナダで利用されているスマートフォン向けのワクチンパスポートアプリで、イベントへの参加や他国の訪問の際などに、COVID-19のワクチン接種の証明として使用することができる。カナダ全土で65万人以上のユーザーが登録しているという。
最初にPortpassからの個人情報流出のニュースを伝えたCBC(Canadian Broadcasting Corporation)によれば、アプリのWebサイトにおいて、一般ユーザのプロフィールページが少なくとも1時間以上の間パスワードなどで保護されていない状態で公開されていたという。具体的にどのような方法でアクセスできたのかは明らかにされていないが、データは暗号化されずにプレーンテキストで表示できたと指摘されている。閲覧できたデータには、メールアドレスや名前、血液型、電話番号、誕生日、運転免許証やパスポートなどの身分証明書の写真が含まれていたとのこと。
報告を受けたPortpassでは問題を修正したが、CEOのZakir Hussein氏は情報が公開されていた期間は数分間と主張しており、CBCの報道とは見解が異なっている。
Malwarebytes Labsは、Poerpassの別のセキュリティ上の懸念も指摘されている。Portpassでは、ユーザーが運転免許証などの身分証明書をアップロードして本人であることを証明する必要があるが、このときに第三者の写真を使っても問題なく予防接種記録を作成できてしまったという。これは、他人の名前を使って偽のワクチンパスポートが作れてしまうことを意味する。この問題を発見したユーザーは、ほかにもWebサイトがセキュリティ証明書を検証していない可能性なども指摘している。
Portpassの安全性に関するこれらの指摘が真実だとすれば、ユーザーの健康情報が悪意を持った第三者の手に渡る危険にさらされていることになる。もっとも、前述のように報道された内容はPortpassによる見解とは相違があるため、引き続き第三者による検証が必要と思われる。

引用元 mainabi

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

【情報】

チェックリストにある要求ルール:

【情報】

■ 推奨対策

対策:

【情報】

具体例:

【情報】

タグ

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。