オンラインストレージの制限なしファイル共有、Webサイトスキャンサービス経由で情報漏えいに

　株式会社マクニカ セキュリティ研究センターは8月31日、Webサイトスキャンサービス経由による情報漏えいの実態調査を同社ブログで発表した。

　同ブログでは、オンラインストレージサービス特有の情報漏えいの要因のひとつとして、Webサイトスキャンサービスを取り上げている。

　オンラインストレージサービスで機微情報を含むファイルを共有する際は、本来は特定のユーザのみアクセスできる制限あり共有リンクで行うべきだが、設定の手軽さやリスク軽視から制限なし共有リンクを使用し、情報漏えいへとつながる問題が見受けられる。

　Webサイトスキャンサービスでは一般的に、対象URLのリソース（HTML, CSS, JavaScript, 画像等）の可視化、対象URLの画面キャプチャ、（第三者によって実行されたものも含め）過去にスキャン実行されたURLの一覧及び結果の出力する機能が提供されているが、共有リンクをWebサイトスキャンサービスでスキャンした場合、その共有リンクはスキャン結果として公開されてしまうため、誰でも共有リンクの取得が可能となる。また画面キャプチャも取得されるため、共有設定を解除したとしても、先にスキャンされていれば一部データは誰でも閲覧可能な状態のままとなる。

　同ブログでは実際に4月29日から6月30日に、Webサイトスキャンサービス「urlscan.io」にてGoogle Documentを対象に実態調査を行ったところ、重複除くPublicスキャンされたURL数は19,902件、画面キャプチャ内に含まれていた個人メールアドレス数は4,048件となり、実際にいくつかの共有リンクへアクセスを行うと、現在も更新され続けている顧客情報リストがあったという。

　同ブログではまとめとして、機微情報を含むファイルの共有リンクを発行する場合は、原則として、必ず制限あり共有リンクの発行をすべきとしている。