パスワードを忘れた? アカウント作成
15608959 story
情報漏洩

日本の医療Q&Aサイト、公開状態のAmazon S3バケットからおよそ30GBの顧客データが流出 43

ストーリー by headless
公開 部門より
日本の医療 Q&A サイト Doctors Me がおよそ 30 GB の顧客データを格納した Amazon S3 バケットを誤設定で公開状態にしていたと、発見したセキュリティ情報サイトの SafetyDetectives が報告している (SafetyDetectives のニュース記事HackRead の記事)。

Doctors Me は匿名でヘルスケアの専門家に直接相談できる Q&A サイトで、症状の写真をアップロードすることも可能だ。公開状態になっていたバケットは発見時にも更新が続けられており、ファイル 30 万点以上、患者の写真およそ 12,000 点が含まれていたという。写真は相談者が本人や家族の症状を撮影したもので、顔面を撮影したものは子供の写真が中心とのこと。少数ではあるが、動物の写真も含まれていたそうだ。SafetyDetectives ではこのトラブルで患者のプライバシーが侵害されただけでなく、脅迫の材料となる可能性や、未成年者のプライベートな写真が捕食者間で流通する可能性を指摘している。

SafetyDetectives は昨年 11 月 11 日に問題を発見し、同日 Doctors Me に通知している。反応がなかったのか、11 月 21 日には Doctors Me に加えて JPCERT/CC にも連絡。以降は JPCERT/CC を通じたやり取りになり、今年 1 月 11 日になって AWS に連絡したと通知を受けたとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 大事故なのにだんまり (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2022年03月26日 11時55分 (#4221868)

    「情報漏えいの事実を勝手に公表された」と逆ギレしそう

  • by Anonymous Coward on 2022年03月26日 11時40分 (#4221861)

    少し設定を変えるだけで公開状態になるような場所に、個人情報を置くな。

    • by Anonymous Coward

      俺もそう思う。
      ミスはあるし、ミスしたことに気づきにくい場所なのだから。

      • by Anonymous Coward

        public と private の間に protected を設けよう

    • by Anonymous Coward

      そういうアクセス権設定の概念を全否定するなら物理的に切り離すしかないんだけどな。
      事故らなければ不必要なコストが掛かる上に業務効率を大幅に下げることになるので無尽蔵に金が湧く組織以外は取れない選択肢。

      • by Anonymous Coward

        仮想的にでも二重に後ろ側にあるネットワークに置けばいいだけじゃん。
        公開ネットワークと、DMZと、その後ろ側に分けるのはとても一般的。

        • by Anonymous Coward

          S3にはどのネットワークに所属するみたいな概念はないのだが、正しく構築すれば
          - 明示的に与えられたアクセス権限が必要
          - 特定のVPC(ローカルネットワーク)からリクエストしたときだけアクセス可能
          とすることはできる。
          一度構築したらあとは設定を触れないようにIAM Userの権限を縛っておけばいい。

          • by Anonymous Coward

            もちろん担当者は正しく設定したつもりだったでしょうに。
            だからこそ、ネットワークの分離の意味がある。

    • by Anonymous Coward

      素人は黙っていろ。
      今どきのクラウドベースでウェブサービスを営む以上、どの場所であれ設定を少し変えれば公開状態になる。

      • by Anonymous Coward

        今時、プライベートアドレスを振った非公開の仮想ネットワークを作るくらい、どこのサービスでもできるだろ。

        • by Anonymous Coward

          的外れな意見ですね。
          非公開の仮想ネットワークに退避させるのは
          サーバへの直接的な侵入対策に有効なのであって
          今回のような設定ミスがあったとき漏洩を防ぐものではないんですよ。

          ウェブベースで一般向けにサービス提供しているんだから
          どこかで顧客のアクセスに応じてデータを見せないといけない。
          サーバの奥深く、VPNの先にデータを入れていたとして
          結局パブリック側に取り出す口は開けざるを得ないのだから、
          その口の開け方の設定次第ってことです。
          そこがミスってたら仮想ネットワークだろうが何だろうが無意味です。

          • by Anonymous Coward

            目的の重点をどこに置いているのかは設計思想によるだろうが、何段階かの接続を踏むものなら、1ヶ所の設定ミス程度では今回のような事故は起きなかった。
            フールプルーフを考慮しておかないと、必ずどこかで事故は起こるよ。
            利便性を取って安全性を犠牲にしていることを、再認識したほうがいい。

          • by Anonymous Coward

            アホ担当者が設定をミスることがないように、ユーザーやグループに権限を割り当てればいいだけ。
            分掌していないのであれば、設計者がアホ。

      • by Anonymous Coward

        ×今どきのクラウドベースでウェブサービスを営む以上
        ○俺が使ったことのある範囲のAWSの簡易な機能で営む以上

        • by Anonymous Coward

          AWSのことよく知らないで書き込んでるでしょ。
          今回の原因となったS3もそうだけど、簡易どころかめちゃ奥深いし
          基本的に、AWSは「簡易じゃないもの」ほどトラップも多いので
          設定ミス・実装ミスによる漏洩リスクはむしろ上がるんだよ。

  • by Anonymous Coward on 2022年03月26日 11時45分 (#4221862)

    普通に保管していたら児童ポルノ扱いになるが、
    医療向けクラウドはこの規制がないから、流出しただけでヤバい。

  • by Anonymous Coward on 2022年03月26日 12時06分 (#4221872)

    設定のベストプラクティスとかそういうのってAWS内から得られるよね?
    有料サポートプランに入って無くってもそう言う資料割と読めると思うんだ

    ブラックベルトですら
    https://d1.awsstatic.com/webinars/jp/pdf/services/20190220_AWS-BlackBe... [awsstatic.com]
    アクセス制限かけられるよっていってるのになんで全公開なんだ?

    正直古いと言われるシステムであっても設定を決める際に妥当性とかを検討したりするし
    点検見直しを「古いシステム運用だ」って見捨ててるのか?

    過去にPerlのフレームワークで起きた脆弱性をPHPでも起こしたりとか
    なんで他で起きてることを見て自分の所は大丈夫だって点検しないんだ?

    • by Anonymous Coward

      なぜか? 読まないから。

      みんなテキトーに作ってるのであって、読んだりはしない。

      • by Anonymous Coward

        ドキュメント読まない人多いですよね。
        なんでいろいろ知っているんですかと言われても割と愚直にドキュメント読んでるだけなんだけどな。

        • by Anonymous Coward

          誰しもがドキュメントや法律や条例を読んでいたら弁護士をはじめとする知識専門職は要らないんですよ。

    • by Anonymous Coward

      そのPDF読むのすげえ面倒くさい・・マヂ無理・・

    • by Anonymous Coward

      Eメール・SNSなどよりFAXを是とする医療業界が、他社事例に学ぼう筈もない。

    • by Anonymous Coward

      >なんで全公開なんだ?

      「なにかと閉鎖的と言われるので(患者のデータを)オープンにしました!」
      な斜め上を行くスタイル?

    • by Anonymous Coward

      緊急点検を指示する人がいないからでしょう。
      log4j のようにテレビニュースにならなきゃ、上が指示しないってことです。
      そもそも、最高セキュリティ対策責任者や開発部付きITセキュリティ対策室のような組織体制が構築されていない。セキュリティ担当を兼業しているところだと、本業優先になる。ようするに、人的リソースが足りないことと、組織体制作りができていない。

      失敗の情報共有を阻む組織風土ができあがっているところもある。そこでは失敗を隠蔽する技術には長けている。
      犯罪や不法行為と戦う姿勢が根本に必要だけど、そういうのを煙たがる組織風土もある。不法行為や背徳行為を正当化している組織が報道されるように、病んだ組織にはそれができない。病んだ組織は、自らの犯罪の餌食になる末路である。彼らはそれが自暴自棄であることに気づかないか、気づいても欲には逆らえないということだろう。
      ちょうど、大阪地検特捜部がまたやらかしたので、前回までのやらかし 大阪地方検察庁 [wikipedia.org]とその関連(証拠改ざん

  • by Anonymous Coward on 2022年03月26日 12時29分 (#4221885)

    発見元と称する団体が画像を公開してるのも恐ろしい。

    一方、流出元のお知らせにはまだ記載がないですね。
    https://doctors-me.com/information/index [doctors-me.com]

    私なら、JPCERTから連絡が来た時点でガクガク・ブルブルですね。/CCがつくと重要案件でしょう。
    幹部まで共有できなかったのか、幹部が理解しなかったのか、他人ながら心配です。

    委託先の医師個人と症状や画像を共有しないといけないビジネスモデルなので、それなりの保護策をとらないといけないと思うが、どうだったのだろう?

    • by Anonymous Coward

      具体的にどういうルートで連絡したのかがわかりませんが、一般的な企業の場合、
      公開メールアドレスや公開フォームは、営業用のメーリングリストなり社内SNSなりに転送されるのが多いので、
      英語である時点で迷惑メール扱いされて読まずに捨てられてるものと思われます。

      前職がIT系技術者でも無い限り、IT系の業種に勤めていてもJPCERTなんて知らないでしょうし。

      • by Anonymous Coward

        セキュリティー警告のメールとか、フィッシングの王道パターンですからね。
        CERTの名前知らなくてかつメールのセキュリティ研修受けてる人なら速攻でごみ箱行きでしょう。

        • by Anonymous Coward

          他がどうかは知りませんが、その手のメールが届いたらゴミ箱行きじゃなくてネットワーク管理者への報告では。
          たまたまその人だけに届いたのなら良いけど、他の人にも同じ手口のメールが届いてる可能性がある。
          注意喚起するためには報告が必要。

          • by Anonymous Coward

            雉も鳴かずば撃たれまいって、何もしなければ問題は起きないって考えるんじゃないかな。
            問題があるならば誰か他の人が報告するってね。
            現場猫さながらの無責任さだけど、問題を理解出来ないやつは自身の職務も理解していないもので、無責任という自覚もないでしょう。

            IT系企業でも技術屋でなければJPCERT/CCを知らないという悲しい現実。

            • by Anonymous Coward

              こと日本企業では各個人の責任範囲が非常に曖昧なので、「声を上げたもん負け」ですからね。
              「じゃその件はお前がやれ」って責任だけを押しつけられるのは明白なので、「知らないほうが得」「知ってても声を上げないほうが得」だったりします。

              ましてやこの手のメールって社員すら読んでないことが多く、読むのはもっぱら下請けの企業か派遣社員だったりするので、
              対応しても評価にならないどころか怒られる可能性すらあったりします。

              • by Anonymous Coward

                まんまアメリカの中小企業の文化じゃん

              • by Anonymous Coward

                アメリカの前にみずぽでは?

              • by Anonymous Coward

                米国でもここで自ら泥をかぶって解決していくと、権力者になれたりはする。
                初代FBI長官として悪名高いジョン・エドガー・フーヴァーの様に(挙兵後の後半生、無数の陳情に裁定し続けた源頼朝にもそんな面はあるし、その裁定業務は歴代執権が引き継ぐ)。

  • ttps://doctors-me.com/qa/detail/17710

    サイト内の「みんなのQ&A」で、相談者が自分の体の写真を投稿して医者に相談してるわけだけど、
    こういうふうに誰でも見れるわけで。

    「site:doctors-me.com/qa/detail」で画像検索すると指摘されてる画像が普通に出てくるし。
    誰でも見れる画像を流出と言われてもサイト運営会社側は困ると思うよ。

    • by Anonymous Coward

      確かに写真のURLがAWSになってますね。
      ただ「ファイル 30 万点以上、患者の写真およそ 12,000 点」とあるので、ファイルが何なのかは謎っすね。

    • by Anonymous Coward

      S3は意識して公開する公開するって設定しないと中々公開状態にはならないと思うんだよな。
      設定ミスではなくシステム設計ミスかなんかのような気も。

      • by Anonymous Coward

        多分、S3のドメイン丸ごと見れる状態になってる設定ミスじゃないかな。
        画像やランディングページ用のファイルがあるディレクトリ以外は見れないように設定すれば解決すると思う。
        投稿画像は流出じゃないけど、必要のないファイルが誰でも見れてしまってる部分についてはサイト側が謝った方がいい気がする。

        #前にも似たようなディレクトリのファイル一蘭丸見え案件があった気が・・・

  • by Anonymous Coward on 2022年03月30日 21時38分 (#4224136)

    ドクターズミーに関する一部海外メディアからの指摘について
    ttps://ad-medi.com/news/2022-03-28/

typodupeerror

人生unstable -- あるハッカー

読み込み中...