インド西ベンガル州政府が運営するウェブサイトのセキュリティ上の欠陥により、少なくとも数十万人、おそらくは数百万人のCOVID-19検査を受けた住民の検査結果が漏洩した。
このウェブサイトは、西ベンガル州政府による新型コロナウイルス大規模検査プログラムの一環です。COVID-19の検査結果が出ると、政府は患者に検査結果を掲載したウェブサイトへのリンクを記載したテキストメッセージを送信します。
しかし、セキュリティ研究者のSourajeet Majumder氏は、患者固有の検査識別番号を含むリンクがBase64エンコードで暗号化されていることを発見しました。これはオンラインツールを使えば簡単に変換できます。識別番号は段階的に番号が付けられていたため、このウェブサイトのバグにより、誰でもブラウザのアドレスバーでその番号を変更し、他の患者の検査結果を閲覧できる状態になっていました。
検査結果には、患者の名前、性別、年齢、住所、そして患者の検査結果がCOVID-19に対して陽性、陰性、または判定不能であったかどうかが含まれます。
マジュムダー氏はTechCrunchに対し、悪意のある攻撃者がサイトをスクレイピングしてデータを販売するのではないかと懸念していると述べた。「もし誰かが私の個人情報にアクセスできれば、それはプライバシーの侵害です」と彼は述べた。
マジュムダー氏は、インドのサイバーセキュリティ対策専門機関であるCERTに脆弱性を報告し、CERTはメールで問題を認めました。また、西ベンガル州政府のウェブサイト管理者にも連絡を取りましたが、返答はありませんでした。TechCrunchは独自に脆弱性を確認し、西ベンガル州政府にも連絡を取りました。政府はウェブサイトをオフラインにしましたが、コメントの要請には応じませんでした。
TechCrunchは、脆弱性が修正されるか、リスクがなくなるまで、レポートの掲載を保留しました。記事掲載時点では、影響を受けたウェブサイトはオフラインのままです。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
このセキュリティ上の不備により、どれだけのCOVID-19検査結果が漏洩したのか、またマジュムダー氏以外の誰かがこの脆弱性を発見したのかは正確には分かっていない。2月末にウェブサイトがオフラインになった時点で、州政府は850万人以上の住民に対してCOVID-19検査を実施していた。
インド最大の血液検査ラボの一つであるDr Lal PathLabsが患者のデータを公開した。
西ベンガル州はインドで最も人口の多い州の一つで、約9000万人が暮らしています。パンデミックが始まって以来、州政府は1万人を超えるコロナウイルスによる死者を記録しています。
これは、過去数カ月間にインドとコロナウイルスのパンデミックへの対応を襲ったいくつかのセキュリティ事件の最新のものだ。
インド最大の携帯電話ネットワークJioは昨年5月、同社が数カ月前にリリースした新型コロナウイルス症状チェッカーを含むデータベースをセキュリティ研究者が発見したことを受け、セキュリティ上の不備を認めた。
10月、セキュリティ研究者は、Dr Lal PathLabsが、COVID-19検査を含む何百万もの患者予約記録を含む数百のスプレッドシートを、パスワードで保護されていないパブリックストレージサーバー上に残し、誰でも機密性の高い患者データにアクセスできることを発見しました。
SignalとWhatsAppを使って、+1 646-755-8849まで安全にヒントを送信できます。SecureDropを使ってファイルや文書を送信することもできます。
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
