東京都医療者向けワクチン予約サイトの個人情報問題(Kintone)

まず、東京都が発表によれば2つの問題があった模様です。それは「個人情報の扱いに係る不具合」と「受付システムの不具合」です。

なお受付システムが利用しているプラットフォームはKintoneですが、サイボウズからのお知らせによるセキュリティのアップデート情報では2021年1月21日に脆弱性が報告されておりましたが、その後はありません。

東京都からの発表

ワクチン接種予約システムの不具合について

令和3年4月26日午前9時00分から医療従事者等向けの接種予約を開始したホームページの「ワクチン接種予約システム」に関して、次の2点の不具合があることが判明しました。

metro.tokyo.lg.jp

1 個人情報の扱いに係る不具合

経緯

  • 4月27日午前1時30分頃
    都民から、特殊な解析ツールを用いて、システムに特定の操作を行うと接種予約者の個人情報(氏名・生年月日・職種・接種券番号)が閲覧可能であるため、早急な対応をすべきとの情報提供があった。
  • 午前2時00分
    都は、運用事業者に連絡し、一時的にシステムの予約機能を停止した。
  • システムには接種予定者27万人の医療関係者の情報が登録されている。個人情報に係るシステム改修が完了するまでシステムは中止し、コールセンターでの予約対応とする。また、システムでコールセンターへの誘導を行っている。
  • なお、上記操作を用いたアクセスの有無については、現在、調査中である。

2 予約プログラムの不具合

経緯

  • 4月26日午前9時00分
    システムで予約を受け付けていない接種医療機関の接種枠について、コールセンターからは予約が可能な状態となり、35接種医療機関で、1,023人分の予約を受け付けてしまった。
  • 午後6時30分
    修正プログラムをシステムへ反映し、当該不具合は解消した。
  • 現在、接種医療機関に謝罪し、当該枠に対応可能な場合は、接種を行っていただくよう依頼をしている。なお、接種医療機関が対応できない場合は、予約をキャンセルすることとなる医療従事者に、説明・謝罪予定である。

発注段階で考慮すべき非機能要件

一方で、不具合が疑われたKintoneを提供するCybozu側からもアナウンスが公表されており、個人情報の扱いに係る不具合と受付システムの不具合について、受付フォームおよびワクチン接種資格確認プロセスに関する不具合に起因することが説明されています。つまり、問題の箇所はAPIを利用してキントーンと外部サービスをデータ連携する高機能なwebフォーム(受付フォーム)だと思われます。

拡張機能で、さらに広がるキントーンでできること
https://kintone-sol.cybozu.co.jp/integrate/

これによれば受託事業者が開発した受付フォームとワクチン資格接種確認の処理がボトルネックとなって、システム全体へ影響が波及したものと思われます。

恐らく、発注者側は非機能要件を考慮してなかったと感じます。なぜならリリース前のテストで非機能要件の確認が含まれ未然に防ぐことができるからです。

経済産業省 ソフトウェア開発力強化推進タスクフォース 非機能要求記述ガイド
www.ipa.go.jp


なお非機能要件とは例えば「富士山を10m移動するには何日掛かるか」といった問題を仮説を用いてある程度概算できるフェルミ推定のような発想です。
具体的には業務内容「東京都医療者向けワクチン予約と受付期間」と行った問題を仮説を用いて想定されるユーザー数、そこから導き出されるアクセス数やトラフィックなどと、求められる性能や可用性、守べき情報のセキュリティなど機能以外の要件を盛り込んで発注することが重要です。

非機能要求グレード
システム構築の上流工程強化(非機能要求グレード)
www.ipa.go.jp

Security By Design

なお、個人情報の取り扱いは水道管のように浄水場から蛇口までEnd to Endで保護する必要があります。例えば Kintone 側でセキュリティの設定を行うだけでは十分でなく、受付フォーム側のシステムで情報へのアクセス制御やアカウント権限の設定、通信やデータベースの暗号化など全てにおいて配慮が必要となります。具体的にはOWASPからWebシステム/Webアプリケーションセキュリティ要件書として公表されておりますので、こちらを参考にセキュリティ要件として要件定義に組み込むことが重要です。

Cybozuからの発表

新型コロナウイルスワクチン接種のオンライン予約受付システムに関する状況について

平素は格別のご高配を賜り厚く御礼申し上げます。
2021年4月26日9時より受付開始された東京都の新型コロナウイルスワクチン接種のオンライン予約受付システム(以下 ワクチン予約受付システム)につきまして、状況についてご説明申し上げます。

topics.cybozu.co.jp

ワクチン予約受付システムの仕組みについて

東京都からの受託事業者により構築された受付フォーム(別システム)を経由して、データが登録されるバックエンドとして、サイボウズ製品「kintone(キントーン)」を採用いただいております。

kintoneへのアクセスおよび稼働状況について

2021年4月26日 9:00より負荷状況を監視しており、現時点まででkintoneに起因する障害は発生しておりません。

ワクチン予約受付システムのアクセス過多は、kintoneへデータが入る前の段階で発生していたと認識しております。

個人情報の扱いに係る不具合について

2021年4月27日、東京都より個人情報の扱いに係る不具合について発表がございました。

当該事象につきまして弊社から東京都へ確認し、受付フォームおよびワクチン接種資格確認プロセスに関する不具合であり、kintoneの不具合や脆弱性等ではないことを確認しております。

kintoneをご利用のお客様へは、同様の不具合等の影響はございません。

今後の対応について

円滑な新型コロナウイルスワクチン接種実現に貢献できるよう、 引き続きkintoneの負荷状況監視を行い、状況に応じて必要な対処を取ると共に、 東京都および東京都の受託事業者とも連絡を取りながら状況の改善に努めて参ります。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ