東京都福祉保健局は4月27日、ワクチン接種 予約システムの不具合について発表した。(記事はこちら)
東京都のワクチン接種予約システムに複数の不具合があり、コールセンターでの予約対応に切り替えたということです。予約システムにどのような問題があったかについて説明します。
今回、発生した不具合は3件で「つながりにくい状況」「個人情報が閲覧可能」「1023人分の予約受付ミス」ということです。つながらない問題と個人情報が閲覧可能な問題はシステムに何らかの不具合があったとされています。
今回、予約システムで使われていたのは、サイボウズ社のkintoneというクラウドサービスとAPI接続するデジタルガレージ社が設計したシステムです。APIとは「Application Programming Interface」の略で、ITで使われるインターフェースとは「何か」と「何か」をつなぐという意味です。今回の場合ですと、サイボウズ社のkintoneに保存されている医療従事者27万人の個人情報と、デジタルガレージ社が設計した受付フォームに入力された予約者情報との照合で、相互にシステムを接続するためにAPIが使用されていたということです。
サイボウズ社の発表によると「kintone自体に不具合や脆弱性はない」とのことで、受付フォームとワクチン接種資格確認プロセスに不具合があったとされています。また、つながりにくい状況についても「kintoneへデータが入る前の段階で発生していた」としており、受付フォームで負荷をさばききれない状況が発生していたと考えられます。
今回のような不具合が発生した原因のひとつは、クラウドサービスが簡単に使い始められることであると考えられます。同様のインシデントを未然に防ぐためには、システムが接続された状態でセキュリティリスクを分析することが必要です。インシデントの詳細については公表されていませんので、あくまでも一般論として説明します。
今回の予約システムで使われていたkintoneはドラッグアンドドロップでシステムの開発ができる「ノーコード開発ツール」と呼ばれるコーディングを必要としないクラウドサービスです。開発にプログラミングの専門知識を必要とされない一方で、開発者の知識不足が原因で本来必要なセキュリティ対策が考慮漏れとなっている可能性があります。
今回のインシデントでは「kintoneの脆弱性ではない」と明言されています。つまり、kintoneを含めて複数のシステムが接続される過程で、脆弱性が発生したと考えられますので、システム全体が接続されている状態でセキュリティリスクを分析する必要があるということです。これは、以前の配信でも触れさせていただいた、銀行口座がオンライン化される過程で発生する脆弱性と酷似していると考えられます。
セキュリティの解析ツールがサイバー攻撃に悪用されることはよくあります。また、解析ツールはインターネットから無料でダウンロードできる場合もあります。
一般的に、セキュリティの解析ツールはシステムの運用を効率化することを目的として、解析の対象となるサーバの情報を収集するものです。例えば、Nmapに代表される無料のポートスキャナーはサーバでどのようなサービスが提供されているか解析することができます。一方で、攻撃者がサーバへ侵入するために悪用できるサービスが有効になっているか解析することも可能です。つまり、使い方次第で解析にも攻撃にも利用できるということになります。ナイフが料理で人を幸せにできる一方で、武器として人を傷つけることがあるのと似ていますね。
さらに、対策方法が提供されていない脆弱性が解析できるツールの利用は、サイバー攻撃の極めて有効な手段となります。脆弱性の対策方法が提供されていない状態をゼロデイといいまして、ゼロデイ攻撃ができるツールはダークウェブと呼ばれるブラックマーケットで売買されている場合があります。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ