インド最大級薬局チェーンのセキュリティ欠陥、1万7千件の処方箋データが露出

17,000件の処方箋データが、誰でもアクセス可能な状態で放置されていた。

インド最大級の薬局チェーンDavaIndia Pharmacyで発覚したセキュリティ欠陥は、デジタル薬局業界が直面する新たなリスクを浮き彫りにした。セキュリティ研究者のEaton Zveare氏がTechCrunchに独占的に明かしたところによると、同社のウェブサイトには「スーパー管理者」権限を誰でも取得できる脆弱性が存在し、顧客の処方箋情報や薬局の運営システムへの完全なアクセスが可能だったという。

急成長の裏で見過ごされたリスク

DavaIndia PharmacyはZota Healthcareの薬局部門として、インド全土で2,300店舗以上を運営する大手チェーンだ。1月だけで276店舗を新規開店し、今後2年間でさらに1,200〜1,500店舗の拡張を計画している。

しかし、この急速な成長の影で、重要なセキュリティ対策が後回しにされていた可能性がある。Zveare氏によると、脆弱性は2024年後半から存在しており、883店舗の管理システムと17,000件近くのオンライン注文データが露出していた。

攻撃者はこのアクセス権限を使って、商品価格の変更、処方箋の要否設定の変更、割引クーポンの作成、さらにはウェブサイトのコンテンツ改ざんまで可能だった。特に懸念されるのは、処方箋が必要な薬品の設定を勝手に変更できることで、これは患者の安全に直結する問題だ。

プライバシーリスクの深刻さ

処方箋データの露出は、一般的な個人情報漏洩とは質が異なる。顧客の名前、電話番号、メールアドレス、住所、支払金額に加え、購入した薬品の詳細まで含まれているためだ。

「薬局での購入履歴は、その人の健康状態や病気を推測させる極めてセンシティブな情報です」とZveare氏は指摘する。「一部の人にとっては、恥ずかしいと感じる購入履歴もあるでしょう」

日本でも、オンライン薬局やデジタル処方箋の普及が進む中、同様のリスクは他人事ではない。楽天やAmazonなどの大手プラットフォームが薬品販売に参入し、従来の薬局チェーンもデジタル化を急ぐ現在、セキュリティ対策の優先順位をどう設定するかが問われている。

業界全体への警鐘

Zveare氏は2025年8月にインドのサイバーセキュリティ当局CERT-Inに報告し、数週間以内に脆弱性は修正された。Zota HealthcareのCEOSujit Paul氏からの回答は得られていないが、悪用された形跡はないという。

しかし、この事件が投げかける問題は修正済みの脆弱性を超えて広がっている。デジタル薬局業界は、利便性と成長スピードを追求する一方で、患者のプライバシーと安全をどう守るのか。特に高齢化が進む日本では、デジタルリテラシーが低い利用者も多く、より慎重なアプローチが求められる。