2週間で3回目、旅行者50万人の個人情報が露出しジャマイカの新型コロナ対策アプリ・サイトがオフラインに

ジャマイカ政府の新型コロナウイルス水際対策、JamCOVIDアプリおよびウェブサイトは米国時間2月25日遅く、3度目のセキュリティ過失を受けてオフラインとなった。今回のデータ漏洩により、50万人以上の旅行者の検疫命令が第三者により閲覧できる状態になっていた。

JamCOVIDは、島に到着した旅行者の入国手続きを同国政府が行う際支援するために2020年立ち上げられた。検疫命令はジャマイカ保健省によって発令され、新型コロナウイルスの拡散を防ぐために旅行者に2週間宿泊先に滞在するよう指示するものだ。

これらの命令には、旅行者の名前と滞在先の住所が記載されている。

あるセキュリティ研究者がTechCrunchに語ったところによると、検疫命令はJamCOVIDのウェブサイトから公開されているが、パスワードで保護されていなかったという。ファイルは誰でもウェブブラウザからアクセスできるが、同研究者はジャマイカ政府からの法的な影響を恐れて、匿名を要求した。

50万件以上の検疫命令が露出し、その中には2020年3月までさかのぼる情報もあった。

TechCrunchはこれらの詳細を地元新聞のJamaica Gleanerと共有した。同紙は、現地のサイバーセキュリティ専門家とデータ流出を確認した後、セキュリティ事故を最初に報じていた

JamCOVIDの新型コロナウイルスダッシュボードおよび入国管理サービスの構築と維持を請け負っていたAmber Groupは、TechCrunchとJamaica Gleanerが25日夜に同社に連絡した後、しばらくしてサービスをオフラインにした。JamCOVIDのウェブサイトは「メンテナンス中」という告知ページに変更された。この記事の公開時点では、サイトは戻っていた。

Amber GroupのCEOであるDushyant Savadia(ドゥシャント・サヴァディア)氏にコメントを求めたが、返答は得られなかった。

ジャマイカ国家安全保障省のMatthew Samuda(マシュー・サムダ)無任所大臣も同様に、同国政府がAmber Groupとの契約や関係を継続する予定があるかどうかを含め、取材や質問に応じなかった。

JamCOVIDが関与したセキュリティ過失は、ここ2週間で3つ目になる。

先週Amber Groupは、7万件以上の陰性の新型コロナウイルス検査結果と、島への渡航を許可する42万5000件以上の入国記録が含まれているにもかかわらず、無防備に公開されたままになっていたAmazon Web Services(AWS)上でホストされているクラウドストレージサーバーの設定を変更した。サヴァディア氏はこれを受けて、同アプリに「これ以上の脆弱性はない」と述べていた。そのわずか数日後、同社はサービスの秘密鍵とパスワードを含むファイルをJamCOVIDサーバーに残したことが判明し、2回目のセキュリティ過失を修正した。

関連記事:ジャマイカ政府の新型コロナアプリ請負業者Amber Groupが今月2度目のセキュリティ事故

ジャマイカ政府は繰り返しAmber Groupを擁護してきたが、Amber GroupはJamCOVIDの技術を政府に「無償で」提供したと述べている。Amber Groupのサヴァディア氏は以前、同社が「3日で」サービスを構築したと語っていたと報じられている。

ジャマイカのAndrew Holness(アンドリュー・ホルネス)首相は25日の声明の中で、JamCOVIDは国の入国プロセスの「重要な要素であり続ける」と述べ、詳細は明かされなかったが、政府はJamCOVIDデータベースの移行を「加速させている」と語った。

カテゴリー:セキュリティ
タグ:データ漏洩ジャマイカ

画像クレジット:TechCrunch / composite

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。