ある研究者が、オンライン上で文書の共同編集を可能にするGoogleのサービスJotSpotで、利用者の名前と電子メールアドレスがインターネット上にさらされていたことを明らかにした。Googleによると、この問題は管理者権限を持ったユーザーが、プライベート設定をしていなかったためだという。
その結果、ユーザーの機密データがGoogleのクローラーによってインデックス化され、ウェブ上でアクセス可能になっていたとハーバードビジネススクールの助教授でセキュリティ専門家であるBen Edelman氏は述べている。
Googleの広報担当は電子メールでの声明で「これはセキュリティ問題ではない」と述べ、「これらウィキにおける情報は、Site Permissionsページでパブリックに設定されているため、アクセス可能である。ユーザーはいつでも共有する情報を管理することができる。ウィキがプライベートに設定されている場合、公から情報へアクセスすることは一切できない」と語っている。
JotSpotのウィキは標準でプライベートになっている。グループの管理者がプライバシーコントロールを変更しない限り情報が公になることはない、とGoogleの広報担当は述べている。
CNET Newsでもこの問題を確認し、JotSpotユーザーの氏名や電子メールアドレス、所属グループを閲覧することができた。これは、さまざまなJotSpotプロジェクトやグループに登録しているユーザーのリストを含むJotSpot上の「User Management」ページをGoogleで検索することで確認できた。30日夜時点では、約2800件を検索することができた。
「User Management」ページに一覧された各ユーザーには、電子メールアドレスなど詳細な情報が掲載されたページへのリンクが張られている。
これは、グループがプライベート用に設定したウィキページでも同様だったとEdelman氏はブログ投稿で述べている。しかし、同氏が挙げた例の1つを再試してみたがプライベートグループの「User Management」ページは、すでにアクセスすることができなかった。Googleがこうしたページのいくつかの一般アクセスを取り除いた可能性がある。
Edelman氏は、1週間前にGoogleにこのセキュリティ問題を通知し、27日には影響を受けていたサイトの一部は、このセキュリティホールを埋めるよう修正されたという。
このセキュリティ問題は、ユーザーが保護されていると信用しているデータを露出しただけでなく、ユーザーをスパムの送付やソーシャルエンジニアリング攻撃の犠牲になるリスクにもさらしたとEdelman氏は指摘している。
この問題はまた、顧客データの安全管理能力に対する個人および企業顧客の信頼に依拠するGoogleのホステッドサービス事業における欠点を浮き彫りしている、と同氏は述べた。
「JotSpotの露出は、あらゆる点から見て偶発的なものだ。しかし、同じような間違いが続いていることから、この誤りはGoogleのホステッドアプリケーションモデルの有効性に疑問を投げかける」(Edelman氏)
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス