セキュリティの
学び場

今回の解説ニュース

オンラインストレージサービス特有の情報漏えいの要因として、Webサイトスキャンサービスが取り上げられています。Webサイトスキャンサービスで情報漏えいが起こる理由や、その対策について説明します。

Webサイトスキャンサービスでは一般的に、対象URLのリソースの可視化、対象URLの画面キャプチャ、過去にスキャンが実行されたURLの一覧及び結果を出力する機能が提供されています。しかし、共有リンクをWebサイトスキャンサービスでスキャンした場合、その共有リンクはスキャン結果として公開されてしまうため、誰でも共有リンクの取得が可能となります。また画面キャプチャも取得されるため、共有設定を解除したとしても、先にスキャンされていれば一部データは誰でも閲覧可能な状態のままとなります。

実際にWebサイトスキャンサービスにて実態調査を行ったところ、特定2か月間の画面キャプチャ内に含まれていた個人メールアドレス数は4,048件となり、実際にいくつかの共有リンクへアクセスを行うと、現在も更新され続けている顧客情報リストがあったということです。

なぜ、Webサイトスキャンサービス経由から情報が漏えいするのか

Webサイトスキャンサービス経由で情報漏えいする理由の一つとして、ユーザがその機能について十分に把握していないことが挙げられます。

例えば、Aさんがスマートフォンに新しくアプリを入れたとします。最近のアプリはとても使いやすく、マニュアルを読まなくても使い始められますね。一方で、簡単に使い始められるがゆえに、適当にいじっていたら間違えて画像がシェアされてしまった、みたいなこともあるのではないでしょうか。

Webサイトスキャンサービスも同様で、ユーザがそのサービスを使うことで何が起こるかを正しく理解せずに、使い始めてしまっていることが考えられます。具体的には、Webサイトスキャンサービスのユーザは、自分が見えている画面を特定の相手に共有する目的で使っているだけという認識で、その画像やURLが誰でも閲覧できる状態になっていることを知らないまま、Webサイトスキャンサービスに情報を入力してしまっていることが考えられます。

便利なオンラインストレージサービス、利用する際の注意点とは？

業務で利用するストレージサービスについては、組織で設定を管理したものをユーザに利用してもらうことが必要です。また、ユーザが独自のサービスを使わないような仕組みも検討しましょう。

オンラインストレージサービスで機微情報を含むファイルを共有する際は、本来は特定のユーザのみアクセスできる制限ありの共有リンクで行うべきです。しかし、設定の手軽さやリスクの軽視から、制限なしの共有リンクを使用し、情報漏えいへとつながる問題が見受けられるとうことです。

例えば、ストレージサービスの正しい使い方について教育を実施する際に、セキュリティエンジニアであるAさんは理解できるかもしれませんが、エンジニア未経験のBさんは十分に理解できないかもしれません。教育の機会だけを平等にしても、結果は常に不平等です。そのために、業務で利用するストレージサービスは、組織で設定を管理したものをユーザに利用してもらうことが必要です。管理者として、正しい設定ができているか自信がない場合は、セキュリティの専門家に力を借りることも有効です。

ユーザが独自のサービスを利用しないようにする仕組みとして、CASBが挙げられます。CASBとは、Cloud Access Security Brokerの略で、クラウドサービスの利用状況を可視化して制御する仕組みです。CASBを通じてユーザがアクセスすることで、許可されていない個人契約のクラウドサービスが業務で利用されることを防ぎます。

今回は、Webサイトスキャンサービスで情報漏えいが起こる理由や、その対策についてお届けしました。