グーグルのJotSpotでユーザー情報が露出

　ある研究者が、オンライン上で文書の共同編集を可能にするGoogleのサービスJotSpotで、利用者の名前と電子メールアドレスがインターネット上にさらされていたことを明らかにした。Googleによると、この問題は管理者権限を持ったユーザーが、プライベート設定をしていなかったためだという。

　その結果、ユーザーの機密データがGoogleのクローラーによってインデックス化され、ウェブ上でアクセス可能になっていたとハーバードビジネススクールの助教授でセキュリティ専門家であるBen Edelman氏は述べている。

　Googleの広報担当は電子メールでの声明で「これはセキュリティ問題ではない」と述べ、「これらウィキにおける情報は、Site Permissionsページでパブリックに設定されているため、アクセス可能である。ユーザーはいつでも共有する情報を管理することができる。ウィキがプライベートに設定されている場合、公から情報へアクセスすることは一切できない」と語っている。

　JotSpotのウィキは標準でプライベートになっている。グループの管理者がプライバシーコントロールを変更しない限り情報が公になることはない、とGoogleの広報担当は述べている。

　CNET Newsでもこの問題を確認し、JotSpotユーザーの氏名や電子メールアドレス、所属グループを閲覧することができた。これは、さまざまなJotSpotプロジェクトやグループに登録しているユーザーのリストを含むJotSpot上の「User Management」ページをGoogleで検索することで確認できた。30日夜時点では、約2800件を検索することができた。

　「User Management」ページに一覧された各ユーザーには、電子メールアドレスなど詳細な情報が掲載されたページへのリンクが張られている。

　これは、グループがプライベート用に設定したウィキページでも同様だったとEdelman氏はブログ投稿で述べている。しかし、同氏が挙げた例の1つを再試してみたがプライベートグループの「User Management」ページは、すでにアクセスすることができなかった。Googleがこうしたページのいくつかの一般アクセスを取り除いた可能性がある。

　Edelman氏は、1週間前にGoogleにこのセキュリティ問題を通知し、27日には影響を受けていたサイトの一部は、このセキュリティホールを埋めるよう修正されたという。

　このセキュリティ問題は、ユーザーが保護されていると信用しているデータを露出しただけでなく、ユーザーをスパムの送付やソーシャルエンジニアリング攻撃の犠牲になるリスクにもさらしたとEdelman氏は指摘している。

　この問題はまた、顧客データの安全管理能力に対する個人および企業顧客の信頼に依拠するGoogleのホステッドサービス事業における欠点を浮き彫りしている、と同氏は述べた。

　「JotSpotの露出は、あらゆる点から見て偶発的なものだ。しかし、同じような間違いが続いていることから、この誤りはGoogleのホステッドアプリケーションモデルの有効性に疑問を投げかける」（Edelman氏）