Webサイトスキャンサービスで情報漏えいが起こる理由
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」9月19日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・なぜ、Webサイトスキャンサービス経由から情報が漏えいするのか
・便利なオンラインストレージサービス、利用する際の注意点とは?
今回の解説ニュース
オンラインストレージサービス特有の情報漏えいの要因として、Webサイトスキャンサービスが取り上げられています。Webサイトスキャンサービスで情報漏えいが起こる理由や、その対策について説明します。
Webサイトスキャンサービスでは一般的に、対象URLのリソースの可視化、対象URLの画面キャプチャ、過去にスキャンが実行されたURLの一覧及び結果を出力する機能が提供されています。しかし、共有リンクをWebサイトスキャンサービスでスキャンした場合、その共有リンクはスキャン結果として公開されてしまうため、誰でも共有リンクの取得が可能となります。また画面キャプチャも取得されるため、共有設定を解除したとしても、先にスキャンされていれば一部データは誰でも閲覧可能な状態のままとなります。
実際にWebサイトスキャンサービスにて実態調査を行ったところ、特定2か月間の画面キャプチャ内に含まれていた個人メールアドレス数は4,048件となり、実際にいくつかの共有リンクへアクセスを行うと、現在も更新され続けている顧客情報リストがあったということです。
なぜ、Webサイトスキャンサービス経由から情報が漏えいするのか
Webサイトスキャンサービス経由で情報漏えいする理由の一つとして、ユーザがその機能について十分に把握していないことが挙げられます。
例えば、Aさんがスマートフォンに新しくアプリを入れたとします。最近のアプリはとても使いやすく、マニュアルを読まなくても使い始められますね。一方で、簡単に使い始められるがゆえに、適当にいじっていたら間違えて画像がシェアされてしまった、みたいなこともあるのではないでしょうか。
Webサイトスキャンサービスも同様で、ユーザがそのサービスを使うことで何が起こるかを正しく理解せずに、使い始めてしまっていることが考えられます。具体的には、Webサイトスキャンサービスのユーザは、自分が見えている画面を特定の相手に共有する目的で使っているだけという認識で、その画像やURLが誰でも閲覧できる状態になっていることを知らないまま、Webサイトスキャンサービスに情報を入力してしまっていることが考えられます。
その他のトピック