日本の医療Q&Aサイト、公開状態のAmazon S3バケットからおよそ30GBの顧客データが流出 43
ストーリー by headless
公開 部門より
公開 部門より
日本の医療 Q&A サイト Doctors Me がおよそ 30 GB の顧客データを格納した Amazon S3 バケットを誤設定で公開状態にしていたと、発見したセキュリティ情報サイトの SafetyDetectives が報告している
(SafetyDetectives のニュース記事、
HackRead の記事)。
Doctors Me は匿名でヘルスケアの専門家に直接相談できる Q&A サイトで、症状の写真をアップロードすることも可能だ。公開状態になっていたバケットは発見時にも更新が続けられており、ファイル 30 万点以上、患者の写真およそ 12,000 点が含まれていたという。写真は相談者が本人や家族の症状を撮影したもので、顔面を撮影したものは子供の写真が中心とのこと。少数ではあるが、動物の写真も含まれていたそうだ。SafetyDetectives ではこのトラブルで患者のプライバシーが侵害されただけでなく、脅迫の材料となる可能性や、未成年者のプライベートな写真が捕食者間で流通する可能性を指摘している。
SafetyDetectives は昨年 11 月 11 日に問題を発見し、同日 Doctors Me に通知している。反応がなかったのか、11 月 21 日には Doctors Me に加えて JPCERT/CC にも連絡。以降は JPCERT/CC を通じたやり取りになり、今年 1 月 11 日になって AWS に連絡したと通知を受けたとのことだ。
Doctors Me は匿名でヘルスケアの専門家に直接相談できる Q&A サイトで、症状の写真をアップロードすることも可能だ。公開状態になっていたバケットは発見時にも更新が続けられており、ファイル 30 万点以上、患者の写真およそ 12,000 点が含まれていたという。写真は相談者が本人や家族の症状を撮影したもので、顔面を撮影したものは子供の写真が中心とのこと。少数ではあるが、動物の写真も含まれていたそうだ。SafetyDetectives ではこのトラブルで患者のプライバシーが侵害されただけでなく、脅迫の材料となる可能性や、未成年者のプライベートな写真が捕食者間で流通する可能性を指摘している。
SafetyDetectives は昨年 11 月 11 日に問題を発見し、同日 Doctors Me に通知している。反応がなかったのか、11 月 21 日には Doctors Me に加えて JPCERT/CC にも連絡。以降は JPCERT/CC を通じたやり取りになり、今年 1 月 11 日になって AWS に連絡したと通知を受けたとのことだ。
大事故なのにだんまり (スコア:3, おもしろおかしい)
「情報漏えいの事実を勝手に公表された」と逆ギレしそう
設定を間違えたことが問題ではない (スコア:0)
少し設定を変えるだけで公開状態になるような場所に、個人情報を置くな。
Re: (スコア:0)
俺もそう思う。
ミスはあるし、ミスしたことに気づきにくい場所なのだから。
Re: (スコア:0)
public と private の間に protected を設けよう
Re: (スコア:0)
そういうアクセス権設定の概念を全否定するなら物理的に切り離すしかないんだけどな。
事故らなければ不必要なコストが掛かる上に業務効率を大幅に下げることになるので無尽蔵に金が湧く組織以外は取れない選択肢。
Re: (スコア:0)
仮想的にでも二重に後ろ側にあるネットワークに置けばいいだけじゃん。
公開ネットワークと、DMZと、その後ろ側に分けるのはとても一般的。
Re: (スコア:0)
S3にはどのネットワークに所属するみたいな概念はないのだが、正しく構築すれば
- 明示的に与えられたアクセス権限が必要
- 特定のVPC(ローカルネットワーク)からリクエストしたときだけアクセス可能
とすることはできる。
一度構築したらあとは設定を触れないようにIAM Userの権限を縛っておけばいい。
Re: (スコア:0)
もちろん担当者は正しく設定したつもりだったでしょうに。
だからこそ、ネットワークの分離の意味がある。
Re: (スコア:0)
素人は黙っていろ。
今どきのクラウドベースでウェブサービスを営む以上、どの場所であれ設定を少し変えれば公開状態になる。
Re: (スコア:0)
今時、プライベートアドレスを振った非公開の仮想ネットワークを作るくらい、どこのサービスでもできるだろ。
Re: (スコア:0)
的外れな意見ですね。
非公開の仮想ネットワークに退避させるのは
サーバへの直接的な侵入対策に有効なのであって
今回のような設定ミスがあったとき漏洩を防ぐものではないんですよ。
ウェブベースで一般向けにサービス提供しているんだから
どこかで顧客のアクセスに応じてデータを見せないといけない。
サーバの奥深く、VPNの先にデータを入れていたとして
結局パブリック側に取り出す口は開けざるを得ないのだから、
その口の開け方の設定次第ってことです。
そこがミスってたら仮想ネットワークだろうが何だろうが無意味です。
Re: (スコア:0)
目的の重点をどこに置いているのかは設計思想によるだろうが、何段階かの接続を踏むものなら、1ヶ所の設定ミス程度では今回のような事故は起きなかった。
フールプルーフを考慮しておかないと、必ずどこかで事故は起こるよ。
利便性を取って安全性を犠牲にしていることを、再認識したほうがいい。
Re: (スコア:0)
アホ担当者が設定をミスることがないように、ユーザーやグループに権限を割り当てればいいだけ。
分掌していないのであれば、設計者がアホ。
Re: (スコア:0)
×今どきのクラウドベースでウェブサービスを営む以上
○俺が使ったことのある範囲のAWSの簡易な機能で営む以上
Re: (スコア:0)
AWSのことよく知らないで書き込んでるでしょ。
今回の原因となったS3もそうだけど、簡易どころかめちゃ奥深いし
基本的に、AWSは「簡易じゃないもの」ほどトラップも多いので
設定ミス・実装ミスによる漏洩リスクはむしろ上がるんだよ。
医療向けクラウド (スコア:0)
普通に保管していたら児童ポルノ扱いになるが、
医療向けクラウドはこの規制がないから、流出しただけでヤバい。
Re: (スコア:0)
ひらめいた!
何故他社事例に学ばない? (スコア:0)
設定のベストプラクティスとかそういうのってAWS内から得られるよね?
有料サポートプランに入って無くってもそう言う資料割と読めると思うんだ
ブラックベルトですら
https://d1.awsstatic.com/webinars/jp/pdf/services/20190220_AWS-BlackBe... [awsstatic.com]
アクセス制限かけられるよっていってるのになんで全公開なんだ?
正直古いと言われるシステムであっても設定を決める際に妥当性とかを検討したりするし
点検見直しを「古いシステム運用だ」って見捨ててるのか?
過去にPerlのフレームワークで起きた脆弱性をPHPでも起こしたりとか
なんで他で起きてることを見て自分の所は大丈夫だって点検しないんだ?
Re: (スコア:0)
なぜか? 読まないから。
みんなテキトーに作ってるのであって、読んだりはしない。
Re: (スコア:0)
ドキュメント読まない人多いですよね。
なんでいろいろ知っているんですかと言われても割と愚直にドキュメント読んでるだけなんだけどな。
Re: (スコア:0)
誰しもがドキュメントや法律や条例を読んでいたら弁護士をはじめとする知識専門職は要らないんですよ。
Re: (スコア:0)
そのPDF読むのすげえ面倒くさい・・マヂ無理・・
Re: (スコア:0)
Eメール・SNSなどよりFAXを是とする医療業界が、他社事例に学ぼう筈もない。
Re: (スコア:0)
>なんで全公開なんだ?
「なにかと閉鎖的と言われるので(患者のデータを)オープンにしました!」
な斜め上を行くスタイル?
Re: (スコア:0)
緊急点検を指示する人がいないからでしょう。
log4j のようにテレビニュースにならなきゃ、上が指示しないってことです。
そもそも、最高セキュリティ対策責任者や開発部付きITセキュリティ対策室のような組織体制が構築されていない。セキュリティ担当を兼業しているところだと、本業優先になる。ようするに、人的リソースが足りないことと、組織体制作りができていない。
失敗の情報共有を阻む組織風土ができあがっているところもある。そこでは失敗を隠蔽する技術には長けている。
犯罪や不法行為と戦う姿勢が根本に必要だけど、そういうのを煙たがる組織風土もある。不法行為や背徳行為を正当化している組織が報道されるように、病んだ組織にはそれができない。病んだ組織は、自らの犯罪の餌食になる末路である。彼らはそれが自暴自棄であることに気づかないか、気づいても欲には逆らえないということだろう。
ちょうど、大阪地検特捜部がまたやらかしたので、前回までのやらかし 大阪地方検察庁 [wikipedia.org]とその関連(証拠改ざん
JPCERT/CCの知名度が低いのか? (スコア:0)
発見元と称する団体が画像を公開してるのも恐ろしい。
一方、流出元のお知らせにはまだ記載がないですね。
https://doctors-me.com/information/index [doctors-me.com]
私なら、JPCERTから連絡が来た時点でガクガク・ブルブルですね。/CCがつくと重要案件でしょう。
幹部まで共有できなかったのか、幹部が理解しなかったのか、他人ながら心配です。
委託先の医師個人と症状や画像を共有しないといけないビジネスモデルなので、それなりの保護策をとらないといけないと思うが、どうだったのだろう?
Re: (スコア:0)
具体的にどういうルートで連絡したのかがわかりませんが、一般的な企業の場合、
公開メールアドレスや公開フォームは、営業用のメーリングリストなり社内SNSなりに転送されるのが多いので、
英語である時点で迷惑メール扱いされて読まずに捨てられてるものと思われます。
前職がIT系技術者でも無い限り、IT系の業種に勤めていてもJPCERTなんて知らないでしょうし。
Re: (スコア:0)
セキュリティー警告のメールとか、フィッシングの王道パターンですからね。
CERTの名前知らなくてかつメールのセキュリティ研修受けてる人なら速攻でごみ箱行きでしょう。
Re: (スコア:0)
他がどうかは知りませんが、その手のメールが届いたらゴミ箱行きじゃなくてネットワーク管理者への報告では。
たまたまその人だけに届いたのなら良いけど、他の人にも同じ手口のメールが届いてる可能性がある。
注意喚起するためには報告が必要。
Re: (スコア:0)
雉も鳴かずば撃たれまいって、何もしなければ問題は起きないって考えるんじゃないかな。
問題があるならば誰か他の人が報告するってね。
現場猫さながらの無責任さだけど、問題を理解出来ないやつは自身の職務も理解していないもので、無責任という自覚もないでしょう。
IT系企業でも技術屋でなければJPCERT/CCを知らないという悲しい現実。
Re: (スコア:0)
こと日本企業では各個人の責任範囲が非常に曖昧なので、「声を上げたもん負け」ですからね。
「じゃその件はお前がやれ」って責任だけを押しつけられるのは明白なので、「知らないほうが得」「知ってても声を上げないほうが得」だったりします。
ましてやこの手のメールって社員すら読んでないことが多く、読むのはもっぱら下請けの企業か派遣社員だったりするので、
対応しても評価にならないどころか怒られる可能性すらあったりします。
Re: (スコア:0)
まんまアメリカの中小企業の文化じゃん
Re: (スコア:0)
アメリカの前にみずぽでは?
Re: (スコア:0)
米国でもここで自ら泥をかぶって解決していくと、権力者になれたりはする。
初代FBI長官として悪名高いジョン・エドガー・フーヴァーの様に(挙兵後の後半生、無数の陳情に裁定し続けた源頼朝にもそんな面はあるし、その裁定業務は歴代執権が引き継ぐ)。
そもそもこれ、初めから公開されてる画像で流出ですらないのでは? (スコア:0)
ttps://doctors-me.com/qa/detail/17710
サイト内の「みんなのQ&A」で、相談者が自分の体の写真を投稿して医者に相談してるわけだけど、
こういうふうに誰でも見れるわけで。
「site:doctors-me.com/qa/detail」で画像検索すると指摘されてる画像が普通に出てくるし。
誰でも見れる画像を流出と言われてもサイト運営会社側は困ると思うよ。
Re: (スコア:0)
確かに写真のURLがAWSになってますね。
ただ「ファイル 30 万点以上、患者の写真およそ 12,000 点」とあるので、ファイルが何なのかは謎っすね。
Re: (スコア:0)
S3は意識して公開する公開するって設定しないと中々公開状態にはならないと思うんだよな。
設定ミスではなくシステム設計ミスかなんかのような気も。
Re: (スコア:0)
多分、S3のドメイン丸ごと見れる状態になってる設定ミスじゃないかな。
画像やランディングページ用のファイルがあるディレクトリ以外は見れないように設定すれば解決すると思う。
投稿画像は流出じゃないけど、必要のないファイルが誰でも見れてしまってる部分についてはサイト側が謝った方がいい気がする。
#前にも似たようなディレクトリのファイル一蘭丸見え案件があった気が・・・
Re: (スコア:0)
君がラーメン大好きってことだけはわかった
# それはそうと捕食者ってなんだ
Re: Re:そもそもこれ、初めから公開されてる画像で流出ですらないのでは? (スコア:2)
英語のOnline Predatorsという表現に由来する。子供の警戒心を解くための行動をgrooming(毛づくろいと同じ)と言うが、そのあたりからの連想かな?
Re: (スコア:0)
> grooming(毛づくろいと同じ)
まーた髪の話してる(スダレを整えつつ)。
その後 (スコア:0)
ドクターズミーに関する一部海外メディアからの指摘について
ttps://ad-medi.com/news/2022-03-28/