インターネット上でメールを共有できるグーグルの無料サービス「Googleグループ」を通じ、環境省など複数の省庁の情報が誰でも閲覧できる状態になっていたことが分かった。同サービスは初期設定のままでは閲覧に制限がかかっておらず、これを変更しないまま利用していたことが原因だった。
10日に読売新聞が報じたことにより、事態が明らかになった。環境省からは、1月にジュネーブで開催された、水銀条約の制定に向けた政府間交渉委員会に関する情報が漏えいした。ほかに、国土交通省、復興庁、農林水産省などの情報も漏えいしていた。政府は11日、すべての省庁の情報管理の責任者を集めて対策会議を開き、情報セキュリティ対策推進会議議長(杉田内閣官房副長官)が各府省庁に対し、再発防止策等の徹底について指示した。
読売新聞によると、ほかにも全国の医療機関や介護施設のメールでカルテなどが公開状態になっていたほか、高校生の健康診断や中学生の家庭環境なども公開されていた。
セキュリティ企業のラックは10日、この問題について、国内外の組織が投稿した情報に関して、意図せず「情報公開」に至っているケースが多数確認され、本件が深刻なリスクにつながっているとし、注意喚起を行った。同社は、情報が公開されていないか確認する方法と、情報を公開しないための設定変更の方法を図入りで示している。
また、セキュリティリサーチ等を行うカネアカは、Googleグループでの情報漏えいの有無を確認する手順を公開している。同社は、まず自分が使用しているメール用ソフトで、「@googlegroups.com」で終わるアドレスとメールのやりとりをしたことがないか、すべてのメールに対して検索をかけてみることを勧めている。サーバーにメール履歴を蓄えている場合はサーバー内のメールに対して同様のことを行う。検索でヒットした場合は、Googleグループのページで当該メールの件名を検索することで、漏えいの可能性を確認することができる。具体的には、下記資料を参照していただきたい。
(2013/07/16 ネットセキュリティニュース)
【関連URL】
・情報セキュリティ対策推進会議 平成25年第11回会合(平成25年7月11日)(内閣官房情報セキュリティセンター)
http://www.nisc.go.jp/conference/suishin/index.html
・「Googleグループ」 における意図しない情報公開に関しての注意喚起(ラック)
http://www.lac.co.jp/security/alert/2013/07/10_alert_01.html
・グーグルグループでの情報漏洩の有無を確認する方法[PDF](カネアカ)
http://www.kaneaka.jp/app/download/5331832374/%E3%83%95%E3%82%9A%E3%83%AC%E3%82%B9%E3%83%AA%E3%83%AA%E3%83%BC%E3%82%B9.pdf