ジャマイカ政府の新型コロナウイルス水際対策、JamCOVIDアプリおよびウェブサイトは米国時間2月25日遅く、3度目のセキュリティ過失を受けてオフラインとなった。今回のデータ漏洩により、50万人以上の旅行者の検疫命令が第三者により閲覧できる状態になっていた。
JamCOVIDは、島に到着した旅行者の入国手続きを同国政府が行う際支援するために2020年立ち上げられた。検疫命令はジャマイカ保健省によって発令され、新型コロナウイルスの拡散を防ぐために旅行者に2週間宿泊先に滞在するよう指示するものだ。
これらの命令には、旅行者の名前と滞在先の住所が記載されている。
あるセキュリティ研究者がTechCrunchに語ったところによると、検疫命令はJamCOVIDのウェブサイトから公開されているが、パスワードで保護されていなかったという。ファイルは誰でもウェブブラウザからアクセスできるが、同研究者はジャマイカ政府からの法的な影響を恐れて、匿名を要求した。
50万件以上の検疫命令が露出し、その中には2020年3月までさかのぼる情報もあった。
TechCrunchはこれらの詳細を地元新聞のJamaica Gleanerと共有した。同紙は、現地のサイバーセキュリティ専門家とデータ流出を確認した後、セキュリティ事故を最初に報じていた。
JamCOVIDの新型コロナウイルスダッシュボードおよび入国管理サービスの構築と維持を請け負っていたAmber Groupは、TechCrunchとJamaica Gleanerが25日夜に同社に連絡した後、しばらくしてサービスをオフラインにした。JamCOVIDのウェブサイトは「メンテナンス中」という告知ページに変更された。この記事の公開時点では、サイトは戻っていた。
Amber GroupのCEOであるDushyant Savadia(ドゥシャント・サヴァディア)氏にコメントを求めたが、返答は得られなかった。
ジャマイカ国家安全保障省のMatthew Samuda(マシュー・サムダ)無任所大臣も同様に、同国政府がAmber Groupとの契約や関係を継続する予定があるかどうかを含め、取材や質問に応じなかった。
JamCOVIDが関与したセキュリティ過失は、ここ2週間で3つ目になる。
先週Amber Groupは、7万件以上の陰性の新型コロナウイルス検査結果と、島への渡航を許可する42万5000件以上の入国記録が含まれているにもかかわらず、無防備に公開されたままになっていたAmazon Web Services(AWS)上でホストされているクラウドストレージサーバーの設定を変更した。サヴァディア氏はこれを受けて、同アプリに「これ以上の脆弱性はない」と述べていた。そのわずか数日後、同社はサービスの秘密鍵とパスワードを含むファイルをJamCOVIDサーバーに残したことが判明し、2回目のセキュリティ過失を修正した。
関連記事:ジャマイカ政府の新型コロナアプリ請負業者Amber Groupが今月2度目のセキュリティ事故
ジャマイカ政府は繰り返しAmber Groupを擁護してきたが、Amber GroupはJamCOVIDの技術を政府に「無償で」提供したと述べている。Amber Groupのサヴァディア氏は以前、同社が「3日で」サービスを構築したと語っていたと報じられている。
ジャマイカのAndrew Holness(アンドリュー・ホルネス)首相は25日の声明の中で、JamCOVIDは国の入国プロセスの「重要な要素であり続ける」と述べ、詳細は明かされなかったが、政府はJamCOVIDデータベースの移行を「加速させている」と語った。
カテゴリー:セキュリティ
タグ:データ漏洩、ジャマイカ
画像クレジット:TechCrunch / composite
[原文へ]
(文:Zack Whittaker、翻訳:Aya Nakazato)