最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆マイクロソフト、10月の月例パッチは「緊急」4件「重要」4件(2013/10/04) | メイン | ◆上半期で不正アクセス禁止法違反急増、有料サイトの架空請求に注意(警察庁)(2013/10/08) »

2013/10/07

◆SNSなどの情報公開範囲の設定に注意を(IPA)(2013/10/07)

 「Googleグループ」などで情報流出が相次いだことを受け、情報処理推進機構(IPA)は1日、インターネットサービス利用時の情報公開範囲の設定に注意するよう呼びかける「10月の呼びかけ」を公開した。

 Googleグループでの情報漏えい問題は、公開範囲の初期設定が当初、[全てのユーザー]に設定されており、それをそのまま利用していたのが原因とし、公開範囲の具体的な設定方法を紹介している。官公庁の職員や企業の従業員などが、SNSなどに不適切な書き込みや写真を投稿したことによる炎上事例についても触れ、「誰に対してどこまで自分の情報を公開するのか」といった注意が薄らいでいると指摘。FacebookとTwitterの公開範囲設定の方法を紹介している。

 また、通販サイトのウィッシュリスト(ほしいものリスト)で実名が公開されてしまう事例と、Amazonでのその設定方法、デジタルカメラやスマートフォンで撮った写真を公開する際の注意点についても示している。詳しくは、「10月の呼びかけ」を参照していただきたいが、一部に誤解を招きかねない部分などがあるので、設定不備に起因する投稿などの意図せぬ流出に絞って、補足説明をしたい。

■サービス利用時には公開状態の事前チェックを

 インターネット上のサービスは、情報を公開したり共有したりすることを目的に作られていることが多いため、そのまま利用すると、想定外のものが閲覧できる状態になってしまうことがある。何が公開されるのか、どこで設定するのかが分かりにくいというサービス側の問題もあるが、ユーザーが見過ごしていたり勘違いしたりしていることもあるので、不特定多数に公開するつもりのない情報を扱う場合には、第三者から実際にどのように見えるのかを、事前にチェックしておくことをお勧めする。
 具体的には、サービスをログアウトした状態で自身のプロフィールや投稿などを見に行き、閲覧の可否が想定通りか、検索状況はどうかをチェックする。ログインしている状態(会員)と、していない状態(非会員)とで、利用できる機能や閲覧できる範囲が異なるサービスの場合には、別のアカウントでログインした状態でも同様のチェックを行う。別アカウントでのログインは、知り合いにチェックを依頼してもよいし、複数のアカウント取得が認められている場合には、自身でアカウントを追加作成してもよい。

■Googleグループの公開範囲設定

 「Googleグループ」は、メールを使った一対多や多対多のコミュニケーションが行える「メーリングリスト」が発展したものである。グループ作成時の現在の初期値では、グループのメンバーが投稿、閲覧でき、誰でもグループへの参加申し込みが可能な「メーリングリスト」仕様になっている。
 「トピックの表示」「投稿」「グループに参加」それぞれについて、公開範囲が設定でき、当初[トピックを表示]の初期値が[一般公開]になっていた。このたため、初期設定のまま利用していたグループの投稿が、誰でも閲覧できる状態になってしまった。
 同様の問題は、同じサービスを提供する「Yahoo!グループ」でも2011年の暮れに話題になっており、Facebookでもよく似た問題が発生している。

■Facebookの公開範囲設定

 まず、「10月の呼びかけ」にあるFacebookの公開範囲の設定だが、これは、次回からの投稿の初期値を変更するだけのものなので、あえてここで操作する必要はない。ここで設定したからといって、それが今後もずっと公開範囲として維持されるわけでもないので、誤解のないようにしたい。Facebookの投稿に「公開」以外を併用している場合には、投稿時に範囲の再確認を心がけるようにするのがポイントだ。
 Facebookでは、投稿時や投稿後に「共有範囲選択ツール」を使用し、投稿ごとに個別に公開範囲を設定することができる。「共有範囲選択ツール」で変更した設定値は、その後の投稿の初期値になる。例えば「友達」で投稿した後、「公開」に切り替えて投稿すると、次の投稿の初期値は「公開」になる。プライバシーショートカットやプライバシー設定で行った設定が、恒久的に投稿の初期値になると思っていると、想定外の人に公開してしまうことになりかねないので注意していただきたい。
 なお、自分のタイムライン上の他のユーザーの投稿や自身がタグ付けされている投稿に関しては、「タイムラインのタグ付け」で管理を行う。他のユーザーのタイムラインに自身が投稿したものに関しては、投稿先のユーザーの管理に従うことになる。

 設定ミスに起因する意図しない漏えいが問題になっているのは、これら通常の投稿ではなく、Facebookの「グループ」機能だ。「グループ」は、メンバー間で投稿・閲覧できるGoogleグループとよく似たもので、「公開」「非公開」「秘密」の3種類のプライバシー設定がある。作成時の初期値は「非公開」なので、そのまま利用しても投稿内容が漏れてしまうことはないが、この設定では、誰がグループに参加しているのかが公開されてしまう。
 問題が指摘されているのは、この「非公開」設定の「グループ」を通じて、企業の内定者と見られるメンバー一覧が閲覧できてしまった点だ。グループのメンバー以外がグループを見つけたり、メンバーを表示したりできないようにするためには、グループのプライバシー設定を「秘密」にしておかなければいけない。

■Twitterの公開範囲設定

 Twitterの通常の投稿(ツイート)には、全てを公開する(初期値)か、非公開にするかのどちらかの選択しかなく、非公開設定の場合には、投稿は自身が承認したフォロワーにのみ表示される。グループごとや投稿ごとに、公開/非公開を変えることはできない。
 非公開設定のアカウントは、鍵アカ(鍵付きアカウント)などと呼ばれ、仲間同士のプライベートなやりとりに使われている方も多い。鍵アカであれば、投稿が不特定多数に閲覧されてしまうようなことはないが、非公開設定がリンク先にまでは及ばないということを認識していないと、意に反した流出が起きてしまう。
 よくあるのが、公式以外のサービスを使って投稿した画像を見つけられてしまうケースだ。Twitterのカメラアイコンから画像をアップロードした場合には、画像の公開設置は投稿と連動し、投稿を削除すれば画像も削除される。ところが、画像共有サービスなどの外部のサービスを使用した場合には、画像はそのサービスの管理に従う。Twitterの投稿が非公開でも、外部サービスに置いた画像が公開状態なら、画像は誰でも閲覧できてしまうのだ。

 Twitterに限らず、非公開の投稿に非公開のつもりの外部リンクを含む場合には、リンク先の公開範囲の設定にも注意を払っていただきたい。リンクを知らなければ閲覧できないと思っていると、思わぬところで情報流出が起きてしまう。

(2013/10/07 ネットセキュリティニュース)

【関連URL】
・2013年10月の呼びかけ「インターネットサービス利用時の情報公開範囲の設定に注意!」を公開しました。(IPA)
http://www.ipa.go.jp/security/txt/2013/10outline.html

投稿情報: 11:58 |

|