〇 相次ぐ情報漏洩を止められるか。
新型コロナウイルスの感染拡大を機に、Webサービスなどオンラインでのファイル共有が急速に広まっている。在宅勤務やオンライン授業などで離れた場所にいるユーザーとファイルを共有する必要性が増したためだ。
一方、オンラインで共有したファイルが外部に漏洩するトラブルも頻発している。その1つが、ヘルスケア関連メディア開発などを手掛けるアドメディカが提供する、匿名で医師や薬剤師などの専門家に相談できるサービス「Doctors Me」で2022年3月に判明した事案だ。
多量の試行でURLを探し当てる。
Doctors Meのユーザーは自分で撮影した患部などの画像を同サイトに投稿し、専門家に確認してもらいながら健康相談ができる。アドメディカは、ユーザーが投稿した画像について、タイムスタンプとランダムな文字列から成る130~150文字程度のURLを付与して管理していた。
これらの画像について同社は2022年4月1日、「URLに付与されるランダムな文字列を直接入力すれば該当画像を閲覧できる状態」だったことを海外メディアから指摘されたと発表した。同社は「個人情報の漏洩や流出はないものと判断しております」としている。ただこの海外メディアは米Amazon Web Services(アマゾン・ウェブ・サービス)のストレージサービス「Amazon S3」からのものとして数点の画像を掲載していた。
URLの文字列が長ければ、総当たりで暗号を解読したり認証を解析したりする「ブルートフォース攻撃」にはある程度強くなる。だが完全に漏洩を防げるわけではない。
通常のログインは試行回数に限りがあるが、URLは無限に試行できる。そのため「実際に当たる確率はさておき、片っ端から試行していけばいつかはそのURLにたどり着く可能性はゼロではない」。オンラインストレージの「Box」を提供する米Box(ボックス)の日本法人であるBox Japanの三原茂執行役員マーケティング部部長は、複雑な文字列から成るURLのセキュリティーについてこう指摘する。
実際にアドメディカは公表文書の中で、画像の「URLはタイムスタンプとランダムな文字列を付与したものであり、推定することは簡単ではありません。しかし、何らかの意図をもって機械的手法により文字列を多量に作成・入力を繰り返すことにより文字列をマッチングすることが可能になったものと思われます」としている。
オンラインでのファイル共有でURLを推定され情報漏洩した事例はアドメディカが初めてではない。2021年7月にはプレスリリース配信サービスを手掛けるPR TIMESが、会員企業が公表を予定していた発表前の資料が第三者のアクセスによって漏洩したと発表した。リリースや関連資料のファイル258点が公表時間前に漏洩したというトラブルだ。
URLの生成ロジックに規則性があり、特定企業の発表前リリースに割り当てられるURLを外部の人間が容易に類推できるようになっていた。URLさえ分かれば誰でもファイルにアクセスできる状態だった。
基本の対策は3つ。
そして現在、ファイル共有に伴う情報漏洩のリスクは以前に増して深刻化している。オンラインストレージサービスを使ったファイル共有が急速に普及している一方、利用者のリテラシーがそれに追いついていないためだ。
特に近年、メールでZIPファイルとパスワードを別送する「PPAP」がセキュリティー上危険であるとして脱PPAPの機運が高まり、多くの企業が代替手段としてオンラインストレージサービスを採用している。こうしたサービスの多くはURLを通じてファイルを共有するため、設定次第ではファイルの漏洩につながりかねない。
安易なファイル共有による漏洩を防ぐ策は3つある。URLにアクセスするためのパスワードを設定すること、URLの有効期限を設定すること、アクセスできる相手を指定することだ。
「この3つの策を組み合わせることで、漏洩リスクを十分に抑えられる」。オンラインストレージサービス「Dropbox」を提供する米Dropbox(ドロップボックス)の日本法人、Dropbox Japanの岡崎隆之アジア太平洋・日本地域統括ソリューション本部長はこう話す。
オンラインストレージサービスの中には、アクセスできるユーザーを細かく区分けできるものもある。例えばBoxはアクセスできるユーザーとして「リンクを知っている全員」「会社のユーザー」「招待されたユーザーのみ」という3つを指定できる。
共有範囲にも落とし穴。
共有範囲を適切に設定していなかったためにファイルが外部に漏れた事案も多い。遡れば2013年に発生した、米Google(グーグル)が提供するインターネットのグループメールサービスである「Googleグループ」を使っていた省庁や教育機関での内部情報漏洩がその1つだ。
内閣官房情報セキュリティセンター(NISC、現内閣サイバーセキュリティセンター)は2013年7月に開催した第11回情報セキュリティ対策推進会議(CISO等連絡会議)で、厚生労働省や国土交通省など5つの省庁における情報漏洩について説明。厚労省では医療機関や介護施設における患者などの個人情報が、国交省では東北ブロックの社会資本重点整備方針案が漏洩していたことなどを明らかにした。
原因はGoogleグループの共有範囲について初期設定を変更していなかったことだ。当時、Googleグループは初期設定のままだと全情報を外部公開していた。非公開にしたいファイルであっても同サービスを利用しているユーザーであれば誰でも検索して閲覧できた。現在は組織でビジネス向けのGoogleグループを使う場合、初期設定では組織外からアクセスできないようになっている。さらに管理者がポリシーを一括して設定できるようにもなっている。
組織の管理者はオンラインでのファイル共有サービスの危険性を認識したうえで、一括してセキュリティーを高める設定を施すことも重要だ。例えばDropboxの企業向けプランでは「社外のユーザーにURLを送信する際はパスワードを設定しなければ送信できない」「URLの有効期限は7日以上には設定できない」などを一括して設定できるという。
Boxはパスワードや認証を設定せずに、URLを知っていれば誰でもアクセスできるURLを「オープンリンク」と表現する。オープンリンクはセキュリティー対策を施していないため、小売店が特売日のチラシを共有したり企業が公開済みのプレスリリースを共有したりするなど、不特定多数の人にファイルを共有したい用途に向いている。
一方で特定の人とだけファイルを共有し、それ以外の人には非公開としたい場合、当然ながらオープンリンクは向かない。「たとえURLの有効期限を1時間に設定しても、その間にアクセスされれば漏洩してしまう」(Box Japanの三原部長)。
オンラインでのファイル共有は業務効率を高めるため、利用の一律停止は現実的ではない。情報システム部門やセキュリティー組織にはファイル共有についての社員教育と、利用するファイル共有サービスの設定見直しが欠かせない。
