株式会社マクニカ セキュリティ研究センターは8月31日、Webサイトスキャンサービス経由による情報漏えいの実態調査を同社ブログで発表した。
同ブログでは、オンラインストレージサービス特有の情報漏えいの要因のひとつとして、Webサイトスキャンサービスを取り上げている。
オンラインストレージサービスで機微情報を含むファイルを共有する際は、本来は特定のユーザのみアクセスできる制限あり共有リンクで行うべきだが、設定の手軽さやリスク軽視から制限なし共有リンクを使用し、情報漏えいへとつながる問題が見受けられる。
Webサイトスキャンサービスでは一般的に、対象URLのリソース(HTML, CSS, JavaScript, 画像等)の可視化、対象URLの画面キャプチャ、(第三者によって実行されたものも含め)過去にスキャン実行されたURLの一覧及び結果の出力する機能が提供されているが、共有リンクをWebサイトスキャンサービスでスキャンした場合、その共有リンクはスキャン結果として公開されてしまうため、誰でも共有リンクの取得が可能となる。また画面キャプチャも取得されるため、共有設定を解除したとしても、先にスキャンされていれば一部データは誰でも閲覧可能な状態のままとなる。
同ブログでは実際に4月29日から6月30日に、Webサイトスキャンサービス「urlscan.io」にてGoogle Documentを対象に実態調査を行ったところ、重複除くPublicスキャンされたURL数は19,902件、画面キャプチャ内に含まれていた個人メールアドレス数は4,048件となり、実際にいくつかの共有リンクへアクセスを行うと、現在も更新され続けている顧客情報リストがあったという。
同ブログではまとめとして、機微情報を含むファイルの共有リンクを発行する場合は、原則として、必ず制限あり共有リンクの発行をすべきとしている。
![北が日本の住宅会社攻撃/侵害報告のお手本/Xiaomiスマホ決済に脆弱性/「まさに同感」 ほか [Scan PREMIUM Monthly Executive Summary 2022年8月度] 画像](/imgs/p/2w5IdCqve0mMIzS4K5kC-28IDAerBQQDAgEA/39196.jpg)
