診察予約アプリZocdocは「プログラミングエラー」で患者データへの不正アクセス可能だった

医療機関オンライン予約サービスのZocdocは、医院や歯科医院の現職および元スタッフのユーザーアカウントが適切に削除されていなかったために、患者データへのアクセスが可能になっていたバグを修正したと発表した。

ニューヨークに本社を置くZocdocは、カリフォルニア州司法長官に宛てた書簡の中でこの問題を明らかにした。企業は500人以上の州民がセキュリティ上の不備や違反の影響を受けた場合、同州の司法長官事務所に通知することが義務づけられている。Zocdocは今回のセキュリティインシデントにより、米国全体で約7千600人のユーザーが影響を受けていることを確認した。

Zocdocは、見込み患者が医師や歯科医師を検索し予約を入れることができるサービスを提供しており、各医療機関や歯科医院のスタッフがZocdocを通じて行われた予約にアクセスするためのユーザー名とパスワードを提供しているが「プログラミングエラー」、つまり基本的にはZocdoc自身のシステムにおけるソフトウェアのバグにより「過去または現在の医療機関のスタッフの一部が、ユーザー名とパスワードを削除、消去、またはその他の方法で制限することを意図した後に、プロバイダーポータルにアクセスすることができた」と述べている。

この書簡では、Zocdocのポータルに保存されている患者データがアクセスされた可能性があることが確認されている。該当データには、患者の氏名、電子メールアドレス、電話番号、予約日時の他、保険の詳細、社会保障番号、患者の病歴の詳細など、診療所と共有されていた可能性のあるデータも含まれている。

しかしZocdocによると、支払いカード番号、X線や診断書、医療記録などは同社は保存しないため、盗まれていないとのこと。

Zocdocの広報担当者であるSandra Glading(サンドラ・グレーディング)氏はメールで、同社は2020年8月にバグを発見したが「コードが複雑なため、どの診療所やユーザーがどのように影響を受けたかを特定するには、相当な調査が必要だった」と述べた。同社は、カリフォルニア州の司法長官事務所に「可能な限り早く」通知したと述べている。

Zocdocは「この脆弱性の悪用の可能性を含む、あらゆるデータの悪用を検出できる詳細なログ」を保有しており、それらのログの確認とその他の調査作業を行った結果「現時点では、個人情報が何らかの形で悪用された形跡はない」と述べた。

同社によれば、月間約600万人のユーザーがZocdocにアクセスしているという。

この事件に何となく聞き覚えがあるとしたら、それは2016年にZocdocが報告したセキュリティ問題と酷似しているからだ。当時提出された書簡には、医療機関のスタッフが患者データに不正にアクセスできる同様の「プログラミングエラー」が挙げられていた。

関連記事
macOSのゼロデイを悪用し密かにスクショを撮る新たなマルウェア、アカウント情報も取得可能(11.4で修正済み)
エア・インディアが乗客情報の流出を発表、サイバー攻撃を受けたSITAのデータ漏洩被害は当初の想定より広範囲
婚活アプリ「Omiai」のネットマーケティングがコーポレートサイト「お問い合わせフォーム」で個人情報を閲覧できる状態になっていたと報告
マッチングアプリ「Omiai」が退会会員含め171万件の年齢確認書類への不正アクセス公表、運転免許証・健康保険証・パスポート・マイナンバーカード

カテゴリー:セキュリティ
タグ:Zocdocデータ漏洩個人情報医療バグ

画像クレジット:TechCrunch(スクリーンショット)

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

さらばIE、25年以上にわたるセキュリティバグの思い出

そのスピード、信頼性、そしておそらく最も有名なのはセキュリティについて数え切れないほどのジョークのネタにされてきた長命インターネットブラウザー「Internet Explorer(IE)」が、25年以上の歴史を経て2022年に引退することになった。敬意を表して一杯捧げよう。

Microsoft(マイクロソフト)によると、2022年6月に同ブラウザーの生命維持装置のプラグを引き抜くとのことで、最後に残った5〜6人のユーザーには、ChromeやFirefoxに移行するための猶予期間がまるまる1年与えられる(正直な話、他にも優れたブラウザーは存在するが)。このブラウザーが動作に必要な産業用機械など、サポート終了計画には一部例外もある。

Microsoftは長年にわたりInternet Explorerのユーザーに対して、より信頼性と安全性の高い新しいブラウザーであるEdgeへの移行を促してきたが、ライバルのブラウザーを使おうとした瞬間に画面上に広告を表示するなど、可能な限り不愉快な方法をとってきた。ウェブ上でのIEの支持率が低下していく中、多くの企業も同ブラウザーのサポートを終了し始めている。

Microsoftは、IEのサポートを終了することで、同社の歴史の中で最も問題が多かったセキュリティの頭痛の種と決別することになる。

事実上、Internet Explorerほど多くのセキュリティバグに悩まされてきたソフトウェアは他にない。Microsoftは過去20年間、ほぼ毎月IEにパッチを当ててきた。これは、ブラウザーの脆弱性を見つけて悪用し、被害者のコンピュータにマルウェアをドロップするハッカーの一歩先を行くためだ。IEは長年にわたって強化されてきたが、ほとんど目に見えないほど頻繁に行われるセキュリティアップデートや、ユーザーのコンピュータ上でマルウェアが実行されるのを防ぐためのより厳しいサンドボックス化などで先行する競合他社に比べて遅れをとっていた。

関連記事:マイクロソフトがWindowsの脆弱性パッチを緊急リリース、ユーザーは即刻適用を

Internet Explorerの悪口をいうのは簡単だが、Windows 95に搭載されて以来、30年近くも我々の生活に溶け込み貢献してくれた。10代から20代にかけてインターネットで育った我々の世代のユーザーの多くは、Internet Explorerを最初に、そして唯一のブラウザーとして使ってきた。我々のほとんどが、最初にHotmailのメールアドレスを登録したのもInternet Explorerだった。そのブラウザーを使ってMyspaceページをコーディングする方法を学び、怪しげなマルウェア入りの「ゲーム」を大量(実に大量)にダウンロードしてコンピュータの動作をナメクジ並みに遅くしても、何とも思わなかった。

昔、10歳くらいの子どもだった頃、実家の寒い屋根裏部屋にあった明るいティール色の壁紙のCRTモニタに、ピクセル化されたInternet Explorerのアイコンを初めて見た時のことを私はよく覚えている。なぜ記憶に残っているかというと、インターネットが何かよく知らなかった私は、父にこう文句をいったから。「ただインターネットだけを探検(Explore)したいんじゃない。僕は全部を見たいんだ」。

Internet Explorerのおかげで、私はその大部分を見ることができた。

関連記事
Internet Explorerが2022年6月15日にサポート終了、ただしEdgeのIEモードは2029年までを予定
Microsoft Edge、Chromiumベースに――旧Windowsでも作動、macOS版も登場へ

カテゴリー:ソフトウェア
タグ:MicrosoftInternet Explorerバグマルウェアウェブブラウザー

画像クレジット:Louis Douvis / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

macOSにマルウェアがセキュリティ保護を回避できるバグ(macOS 11.3で修正済み)

Apple(アップル)は何年もかけてmacOSのセキュリティ機能を強化し、マルウェアの侵入を困難にしてきた。しかし、新たに発見された脆弱性は、macOSの最新セキュリティ保護のほとんどを、悪意あるアプリをダブルクリックするだけで通過させてしまう。Appleの監視の下であってはならない事態だ。

さらに悪いことに、悪名高きMacマルウェアの一族が、この脆弱性を今週Appleが修正する何カ月も前から利用していたことを示す証拠が見つかった。

ここ数年、Macはほとんどのタイプのマルウェアを技術的障壁を設けることで防いできた。実際、macOSは、インターネットからダウンロードされたドキュメントになりすました悪意あるアプリに警告フラグをつけている。また、Appleが「notarization(公証)」と呼ぶプロセスによって、Appleがレビューしていないアプリや、デベロッパーを確認できなかったアプリは、ユーザーが確認しない限りmacOSでは実行されない。

しかし、セキュリティ研究者のCedric Owens(セドリック・オーエンス)氏は、一連のチェックを逃れて悪意あるアプリが実行できるようになるバグを2021年3月に発見したと語った。

オーエンス氏はTechCrunchに、そのバグによって彼は、一見無害なドキュメントに見えるが開くとmacOSに組み込まれた防御をすり抜ける悪意あるアプリを作ることができたと語った。

「ユーザーに必要なのはダブルクリックすることだけで、macOSからはプロンプトも警告も出きません」と彼はTechCrunchに話した。オーエンス氏は、無害なドキュメントがバクを利用して計算機アプリを立ち上げる概念実証アプリを作った。実際にマルウェアを仕込むことなくバグの仕組みをデモする方法だ。しかし悪意あるアタッカーはこの脆弱性を利用して、なりすましドキュメントを標的に開かせるだけで、遠隔からユーザーの機密情報をアクセスできると彼は説明した。

無害なドキュメントになりすまして、修正前のmacOS機で実行する概念実証アプリ。作者より提供

この脆弱性をアタッカーが悪用することを恐れたオーエンス氏は、Appleにバグを報告した。

AppleはTechCrunchに、バグはmacOS 11.3で修正したと伝えた。さらにAppleは、旧バージョンのmacOSの悪用も防ぐためにパッチを施し、更新されたルールをmacOSの内蔵アンチマルウェアエンジンであるXProtectにプッシュ配信してマルウェアが脆弱性を利用するのを防いだ。

オーエンス氏はMacセキュリティ研究者のPatrick Wardle(パトリック・ウォードル)氏に、このバグがどうやって、なぜ動くのかを調査するよう依頼した。米国時間4月26日の技術的ブログ記事でウォードル氏は、脆弱性がmacOSに内在するコードのロジックバグのために発生することを説明した。つまりmacOSが一部のアプリの分類を誤り、セキュリティ・チェックをスキップしたため、オーエンス氏の概念実証アプリが妨害されずに実行できた。

わかりやすくいうと、macOSアプリは単一のファイルではなくアプリの動作に必要な複数のファイルの集合体で構成されており、アプリケーションが依存しているファイルの場所を教えてくれるプロパティリストファイルもその1つだ。しかしオーエンス氏はこのプロパティリストファイルを取り出して特定の構造の集合体を作ることによって、macOSを騙して中にあるコードを警告を出さずに実行させる方法を見つけた。

ウォードル氏は、そのバグはmacOSのセキュリティ機能を「まったく無意味」にすると評した。Appleのセキュリティアップデートがこのバグを修正したことを同氏は確認した。「アップデートされた結果アプリケーションは正しく分類されるようになり、信頼されていない公証されていないアプリケーショっは(再び)ブロックされ、ユーザーは保護されます」と同氏がTechCrunchに話した。

バグの仕組みを知ったウォードル氏は、Macセキュリティ会社のJamfに、オーエンス氏の発見以前に悪用された証拠がないか尋ねた。Jamfの発見ツール責任者、Jaron Bradley(ジェロン・ブラッドリー)氏は、Shlayerマルウェアファミリーのがバグを利用している例を2021年1月に、オーエンス氏の発見より数カ月早く見つけられていたことを確認した。Jamfはこのマルウェアに関する技術的ブログ記事も公開している。

「このテクニックを使う私たちの見つけたマルウェアは、Shlayerという2018年に最初に発見されたマルウェアファミリーのアップデート版です。ShlayerはmacOSでもっともよく見られるマルウェアの1つであり、そのため私たちはその数多くの変種を発見する方法を開発して進化の過程を綿密に監視しました」とブラッドリー氏がTechCrunchに話した。「発見ツールの1つがこの新たな変種を見つけ、詳しく調べたところ、それがこの変種が抜け穴を使ってインストールされ、ユーザープロンプトも表示されないことを発見しました。さらに分析した結果、マルウェアの開発者はゼロデー脆弱性を見つけ、それを利用するように自分たちのマルウェアを調整したものと考えます」。

Shlayerは、暗号化されたウェブトラフィック(HTTPS利用サイトを含む)を横取りして独自の広告を埋め込み、運用者に詐欺広告マネーをもたらすアドウェアだ。

「多くの場合、ユーザーに偽のインストーラーやアップデートをダウンロードさせることでインストールされます」とブラッドリー氏はいう。「この技法を用いるバージョンのShlayerはそうやってOSのマルウェア検査をかいくぐり『本当にいいですか?』のプロンプトをユーザーに表示することなく実行されます」と彼は言った。

「この変種で最も興味深いのは、作者は旧バージョンをわずかに修正してmacOSのセキュリティ機能を回避することです」と言った氏はいう。

ウォードル氏は、ユーザーが過去に悪用されたかどうかを検出するためのPythonスクリプトも公開している。

ShlayerがmacOSの防御をすり抜けたのはこれが初めてではない。2020年、ウォードル氏はセキュリティ研究者のPeter Dantini氏と協力して、Appleが “notarization”プロセスで誤って承認したShlayerのサンプルを見つけた。デベロッパーがアプリをAppleに送り、セキュリティチェックを受けて、何千万台ものMacの上で邪魔されずの動作できるようにするためのプロセスだ。

【Japan編集部】本稿で触れているmacOSのバグは、現在配布済みのmacOS 11.3にアップデートすることで修正される。

関連記事:アップルが悪名高いMac用マルウェアを誤って承認してしまう

カテゴリー:セキュリティ
タグ:ApplemacOSマルウェアバグ

画像クレジット:Jack Carter / Unsplash

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

米国でマーケットシェア2位の自動車保険会社Geico(ガイコ)は、同社ウェブサイトから顧客の運転免許証番号を不正取得できるセキュリティバグを修正した。

Geicoは、カリフォルニア州司法長官事務所に提出したデータ漏洩の通知の中で、他の情報源から収集された情報が「当社ウェブサイトのオンライン販売システムを通じて、顧客の運転免許証番号に不正アクセスするために使用された」と述べている。

保険業界の大手である同社はデータ漏洩の影響を受けた顧客の数については明らかにしてないが、不正行為者は2021年1月21日から3月1日の間に顧客の運転免許証番号にアクセスしたという。企業は500人以上の州民がセキュリティインシデントの影響を受けた場合、州の司法長官事務所に通知することが義務付けられている。

Geicoは「この情報が、お客様の名義で不正に失業手当を申請するために使用される可能性があると信じるに足る理由」があったと述べている。

経済的動機に基づく犯罪者の多くは、盗んだアイデンティティやデータを使って政府機関を標的にする。しかし米国の多くの州では、失業手当の受給申請に運転免許証のような政府発行IDが必要となる。運転免許証の番号を取得するために、不正行為者は公開データや過去に侵害されたデータを利用し、自動車保険ウェブサイトの弱点を突いて、顧客の運転免許証番号を取得する。これにより、不正行為者は他人の名前で失業手当を得ることができる。

2021年初め、サンフランシスコに拠点を置く保険スタートアップのMetromile(メトロマイル)は1月にバグが修正されるまでの6カ月間、同社ウェブサイトのバグが運転免許証番号の取得に利用されていたことを認めた

失業手当を申請していないのに州政府から関連の通知を受け取った場合は、個人情報が不正に使用された可能性が高いと考えられる。

Geicoの広報担当者であるChristine Tasher(クリスティン・タッシャー)氏に複数回コメントを求めたが、回答は得られなかった。

関連記事:米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告

カテゴリー:セキュリティ
タグ:Geicoデータ漏洩バグ

画像クレジット:Geico / Business Wire

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告

サンフランシスコに拠点を置く自動車保険スタートアップのMetromileが、侵入者が運転免許証番号を取得できるウェブサイトのセキュリティの欠陥を修正したと報告した。

同社は米国証券取引委員会に提出した最新の8-K報告書でセキュリティの侵害について明らかにした。

Metromileによれば、同社ウェブサイト上の見積フォームと申し込みプロセスのバグにより、侵入者が「個人の運転免許証番号を含む特定の個人の情報を取得」できたという。実際にどのような状態で侵入者はフォームから運転免許証番号を取得できたのか、何人の運転免許証番号が取得されたかは明らかにされていない。

報告内容には以下のように記載されている。「Metromileは、即座にソフトウェアを修正するなどこの問題を封じ込め回復する手段を取り、保険会社に通知し、営業は継続しています。Metromileはセキュリティ専門家や弁護士と全面的に連携して、問題がどのように発生したかを突き止め、追加で必要な封じ込めと回復の措置を特定し、必要に応じて影響を受ける個人、法執行機関、監督機関に報告します」。

Metromile広報のRick Chen(リック・チェン)氏は、同社はこれまでに運転免許証番号にアクセスがあったことは確認したが「引き続き調査中」だと述べた。

Metromileは自社ウェブサイトやソーシャルのチャンネルではこの問題について公表していない。チェン氏は、問題の影響を受ける個人に通知する予定だと述べた。

Uberの元幹部であるRyan Graves(ライアン・グレイブス)氏から5000万ドル(約52億6000万円)の投資を受け、同氏がMetromileの経営陣に加わることを認めたタイミングで、この問題が明らかになった。MetromileはSPAC(特別目的買収会社)を通じて13億ドル(約1367億6000万円)で株式公開する計画であると、2020年11月に発表したばかりだった。

関連記事
SPAC(特別目的買収会社)について知っておくべきほぼすべてのこと
走行距離で課金する自動車保険のMetromileがSPACを通じて公開市場へ

カテゴリー:セキュリティ
タグ:MetromileSPACバグ

画像クレジット:Smith Collection/Gado / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Kaori Koyama)