AeyeScan blog 第12回「Googleグループで発見した50件の個人情報漏えい追跡調査:事例から見える組織セキュリティの課題」 | ScanNetSecurity
2026.01.20(火)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 脅威動向 記事

AeyeScan blog 第12回「Googleグループで発見した50件の個人情報漏えい追跡調査:事例から見える組織セキュリティの課題」

 2025年6月、Googleグループでの情報漏えいに関する記事が公開されました。この記事を受け「多くの組織で同様の問題が発生しているのではないか?」という疑問が湧きました。調査を開始したところ次々と同様の事例を見つけることができました。まずは IPA に連絡を取り対応を依頼しましたが「Googleが提供するサービスの利用者等へ指導等を行う権限を有していない」という返信がありました。見つけてしまった情報漏えいを放置するわけにもいかないので、やむをえず「個人での」調査・対応の依頼を開始する判断に至りました。

脆弱性と脅威
111 views
(イメージ画像)

 2025年6月、各誌に株式会社大創産業(ダイソー)におけるGoogleグループでの情報漏えいに関する記事が公開されました。

 記事によると、同社では 業務で利用していたGoogleグループの閲覧権限に設定不備があり、顧客や取引先、中途採用応募者、従業員等とのやりとりに関するメールの一部が、外部から閲覧可能な状態となっていました。

 昔からこの手の問題は存在していましたが、この記事を受け「現在でも多くの組織で同様の問題が発生しているのではないか?」という疑問が湧きました。Googleグループは多くの組織で利用されているツールであり、設定不備は決して珍しいものではありません。調査を開始したところ、次々と同様の不備による情報漏えいの事例を見つけることができました。Googleグループの検索エンジンには若干の癖があるため、すぐに見つかる情報漏えいに関しては事象が限定的なものが多いものの、深掘りして調査をするとより多くの致命的な情報漏えいなども確認することができました。

● 調査手法と発見された50件のインシデント

 この深刻な状況を受けて、まずは情報処理推進機構(IPA)に連絡を取り、適切な対応を依頼しました。しかし、IPAからは「Googleが提供するサービスの利用者等へ指導等を行う権限を有していない」という趣旨の内容で、対応できない旨の返信がありました。

 公的機関でも対応できないとなれば、誰がこの問題を解決するのか? セキュリティに関わるものとして、見つけてしまった情報漏えいを放置するわけにもいかないので、やむをえず個人での調査・対応の依頼を開始する判断に至りました。本記事では、実際に連絡を行った50件の事例を詳細に分析し、組織が直面しているセキュリティリスクとその対策について考察します。

 まずは、Googleグループで個人情報や取引先情報が漏えいしている可能性のある事例を見つけ次第、該当組織にコンタクトを取って対応を依頼するという活動を実施しました。比較的規模や内容的にも深刻なものを逐次報告していき、おおよそ50件に近づいてきた時に、深刻なものがあまり見つからなくなって来たため、50件を一旦ゴールとしてその結果をまとめてみました。

● 漏えい情報の種類と規模

 調査で発見された情報漏えいの実態は、予想を上回るものでした。当初は、そうはいっても設定はきちんと行われており、ほとんど見つからないだろうと考えていましたが、実際に調べてみると、多くの情報が外部から閲覧可能な状態でした。Googleグループ上で閲覧できる情報の多くは、意図して公開しているのかどうか判断が難しいものが多くありましたが、明らかに公開前提ではないと思われる情報もいくつか観測できました。特に深刻なものとしては、採用応募者と思われる個人情報が挙げられます。氏名、住所、電話番号、履歴書、職務経歴書、年収情報といった、個人情報の中でも特に重要な情報が漏えいしている事例が複数確認できました。これらの情報は、個人のプライバシーや社会的地位に直接影響を与える可能性がある極めて重要な情報です。

 以下に、個人情報漏えい件数をまとめました。情報漏えいが確認できた事例のうち、幸いなことに数万件規模は1件しかありませんでしたが、それでも情報の重要度を鑑みると非常に危険な状態と言わざるを得ません。特に注目すべきは、これらの漏えいがGoogleグループという、本来は社内情報共有のためのツールで発生していることです。まるで、自宅の玄関の鍵をかけ忘れたまま外出しているような状況が、組織レベルで発生しているようなものです。

個人情報漏えいの規模別件数
 - 数万件:1件
 - 数千件:3件
 - 数百件:5件
 - 数十件:15件
 - 10件前後:3件

 今回はGoogleグループ上での直接的な情報漏えいに絞って調査を行っておりましたが、アカウント乗っ取りのリスクも深刻な問題です。採用管理サイトへのログイン情報を受け取っているGoogleグループも多く存在していたため、アカウントの乗っ取りなどのケースを考えると、更に多くの個人情報が危険に晒されていると思われます。なお、調査の過程でアカウントを発見した2件については、該当組織へ連絡済です。

 また、採用管理以外のアカウント情報の乗っ取りに関しても注意が必要です。例えば、SNSアカウントが乗っ取られた場合、組織のブランドイメージに与える影響は計り知れません。今回は、フォロワー3万人を抱えるSNSアカウントの乗っ取り可能性が1件発見され、連絡をしています。

 もちろんというのはおかしな話ですが、個人情報だけでなく組織の機密情報が広範囲にわたって漏えいしていることも判明しました。特に、公開前のサービス・企画や、秘密保持契約を結んでいるような案件(秘密保持契約書自体が漏えいしている!)などが閲覧可能な状態になっており、これらはビジネスパートナーとの信頼関係に深刻な影響を与える可能性があります。特殊なものとしては、SNSでフォロワーを多数抱える著名な方の仕事の依頼窓口のメールアドレスも確認できました。

組織情報漏えいの種類別件数
 - 取引先情報:10件
 - システム情報:4件
 - 社内情報:3件

 これは余談ですが、アカウント乗っ取りをされてしまう可能性のある組織・個人ではなく、その対象サービスを運営している組織への連絡も試みました。対象は3件、ECサイトでの顧客アカウント乗っ取り可能性、採用管理システムでの顧客アカウント乗っ取り可能性、そして証券会社での認証コード漏えいです。しかし、サービス運営側からは個別のユーザへの対応は難しいのか、1ヶ月程度経ってから確認してみましたが、対応はされていませんでした(証券会社に関しては、事象の報告に対する返信もありません…)。

● 対応率の実態

 調査結果から浮かび上がった組織のセキュリティ対応の実態は、必ずしも十分とは言えないものでした。一見すると、対応率80%(40件/50件)は悪くない数字に見えます。しかし、この数字だけでは捉えきれない課題が内在していることも明らかになりました。

 興味深いのは、組織側の具体的な対応状況です。全てのメールに「情報漏えいである場合は、状況確認のために連絡をください」という主旨の文言を記載していたにもかかわらず、返答率が24%にとどまりました。76%の組織からは反応が得られませんでした。

 注目すべき点として、対応が確認できた組織であっても、必ずしも根本的な改善に至っていないケースが見受けられました。直接的な情報漏えいへの対応は行われていたものの、Googleグループに第三者が参加して内容を閲覧できる設定がそのまま残されているなど、対応が限定的にとどまっている事例がありました。

 こうした結果から、セキュリティインシデント対応が一時的な措置に偏りがちである状況もうかがえます。情報の削除や一時的なアクセス制限は実施されている一方で、設定不備や管理体制といった根本的な要因への対応が十分でない場合、同様の問題が再発する可能性が残る状況といえるでしょう。

● 対応時間の分析

 メール送信から対応までの時間を記録した結果、組織によって対応速度に大きな差があることが判明しました。対応があった組織の多くは、数時間から数日程度でGoogleグループの公開設定を変更していました。ただし、私たちに直接反応を示した組織もあれば、設定変更のみで反応がない組織もあり、対応の質にはばらつきが見られました。

 この結果は、迅速に設定変更ができた組織であっても、必ずしもセキュリティインシデントへの対応体制が整っているわけではないことを示しています。多くの組織は、インシデントに対して一定の温度感で対応したという程度の認識であることが推測されます。

 なお、今回の調査では、意図的に公開されているのか判断が難しかったため対象外としましたが、サークル活動や保護者会、マンションの理事会など、内容の取り扱いに注意を要するメールが公開状態となっているケースも多く確認されました。Googleグループを利用している団体や組織の皆様におかれましては、該当する可能性がある場合、一度設定状況を確認されることをお勧めします。

 最後にGoogleグループで意図しない情報公開が行われていないかの確認方法と、もし行われていた場合の対応を記しておきます。

●確認方法

 - `[グループ名]@googlegroups.com` の場合:`@`より前の「グループ名」を使って、「`https://groups.google.com/g/グループ名`」でシークレットブラウザなどからアクセスして確認

 - `[アカウント名]@[企業ドメイン]` の場合:「`https://groups.google.com/a/企業ドメイン/g/アカウント名`」でシークレットブラウザなどからアクセスして確認


 `leak@example.com` の場合:`https://groups.google.com/a/example.com/g/leak`

●情報漏えい指摘を受けた場合の対応

 確認すべき重要事項
 ・発覚状況の確認:漏えいの経路や原因の特定
 ・漏えい範囲の把握:個人情報や機密情報の漏えい範囲の調査
 ・対応方法の検証:実施している対応の適切性と効果の確認
 ・報告者への対応:報告者手元の個人情報削除依頼の必要性確認

●おわりに

 私たちは、本調査を通じて、セキュリティ対応の現状や課題について共有することで、多くの組織にとっての検討材料を提供したいと考えています。今後も、組織のセキュリティレベル向上に寄与することを目的として、継続的な調査や情報発信を行っていく予定です。今回の結果を一つの参考として、自社のセキュリティ体制を見直すきっかけとしていただければ幸いです。

 調査期間:2025年 6月24日 ~ 8月8日
 調査対象:Googleグループ上での情報漏えい事例
 連絡件数:50件
 対応率:80%(40件)
 返答率:24%(12件)

※本調査は、組織のセキュリティ向上を目的として実施されたものです。調査結果は、組織のセキュリティ意識向上と適切な対策の実施を促進することを目的としています

《株式会社エーアイセキュリティラボ 取締役 杉山 俊春》

一次情報または関連リンク

関連記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×