オンラインストレージの制限なしファイル共有、Webサイトスキャンサービス経由で情報漏えいに | ScanNetSecurity
2025.10.04(土)

オンラインストレージの制限なしファイル共有、Webサイトスキャンサービス経由で情報漏えいに

 株式会社マクニカ セキュリティ研究センターは8月31日、Webサイトスキャンサービス経由による情報漏えいの実態調査を同社ブログで発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 株式会社マクニカ セキュリティ研究センターは8月31日、Webサイトスキャンサービス経由による情報漏えいの実態調査を同社ブログで発表した。

 同ブログでは、オンラインストレージサービス特有の情報漏えいの要因のひとつとして、Webサイトスキャンサービスを取り上げている。

 オンラインストレージサービスで機微情報を含むファイルを共有する際は、本来は特定のユーザのみアクセスできる制限あり共有リンクで行うべきだが、設定の手軽さやリスク軽視から制限なし共有リンクを使用し、情報漏えいへとつながる問題が見受けられる。

 Webサイトスキャンサービスでは一般的に、対象URLのリソース(HTML, CSS, JavaScript, 画像等)の可視化、対象URLの画面キャプチャ、(第三者によって実行されたものも含め)過去にスキャン実行されたURLの一覧及び結果の出力する機能が提供されているが、共有リンクをWebサイトスキャンサービスでスキャンした場合、その共有リンクはスキャン結果として公開されてしまうため、誰でも共有リンクの取得が可能となる。また画面キャプチャも取得されるため、共有設定を解除したとしても、先にスキャンされていれば一部データは誰でも閲覧可能な状態のままとなる。

 同ブログでは実際に4月29日から6月30日に、Webサイトスキャンサービス「urlscan.io」にてGoogle Documentを対象に実態調査を行ったところ、重複除くPublicスキャンされたURL数は19,902件、画面キャプチャ内に含まれていた個人メールアドレス数は4,048件となり、実際にいくつかの共有リンクへアクセスを行うと、現在も更新され続けている顧客情報リストがあったという。

 同ブログではまとめとして、機微情報を含むファイルの共有リンクを発行する場合は、原則として、必ず制限あり共有リンクの発行をすべきとしている。

《高橋 潤哉》

関連記事

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

    アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

ランキングをもっと見る
PageTop