オンラインストレージの制限なしファイル共有、Webサイトスキャンサービス経由で情報漏えいに | ScanNetSecurity
2022.10.05(水)

オンラインストレージの制限なしファイル共有、Webサイトスキャンサービス経由で情報漏えいに

 株式会社マクニカ セキュリティ研究センターは8月31日、Webサイトスキャンサービス経由による情報漏えいの実態調査を同社ブログで発表した。

調査・レポート・白書 調査・ホワイトペーパー

 株式会社マクニカ セキュリティ研究センターは8月31日、Webサイトスキャンサービス経由による情報漏えいの実態調査を同社ブログで発表した。

 同ブログでは、オンラインストレージサービス特有の情報漏えいの要因のひとつとして、Webサイトスキャンサービスを取り上げている。

 オンラインストレージサービスで機微情報を含むファイルを共有する際は、本来は特定のユーザのみアクセスできる制限あり共有リンクで行うべきだが、設定の手軽さやリスク軽視から制限なし共有リンクを使用し、情報漏えいへとつながる問題が見受けられる。

 Webサイトスキャンサービスでは一般的に、対象URLのリソース(HTML, CSS, JavaScript, 画像等)の可視化、対象URLの画面キャプチャ、(第三者によって実行されたものも含め)過去にスキャン実行されたURLの一覧及び結果の出力する機能が提供されているが、共有リンクをWebサイトスキャンサービスでスキャンした場合、その共有リンクはスキャン結果として公開されてしまうため、誰でも共有リンクの取得が可能となる。また画面キャプチャも取得されるため、共有設定を解除したとしても、先にスキャンされていれば一部データは誰でも閲覧可能な状態のままとなる。

 同ブログでは実際に4月29日から6月30日に、Webサイトスキャンサービス「urlscan.io」にてGoogle Documentを対象に実態調査を行ったところ、重複除くPublicスキャンされたURL数は19,902件、画面キャプチャ内に含まれていた個人メールアドレス数は4,048件となり、実際にいくつかの共有リンクへアクセスを行うと、現在も更新され続けている顧客情報リストがあったという。

 同ブログではまとめとして、機微情報を含むファイルの共有リンクを発行する場合は、原則として、必ず制限あり共有リンクの発行をすべきとしている。

《高橋 潤哉》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×