ICHIRO BLOG引っ越しました

山本一郎です。リスク要員です。

ちょっと前の話になりますが、クラウドストレージサービスにおいて一般公開していないはずのファイルダウンロード用リンクがなぜかアドネットワークの広告主向けレポートでダダ漏れになるという事態が発生しました。

「firestorage」のファイルURL、ヤフーのアドネット広告主が閲覧可能な状態に（ITmedia 2014/4/25）

firestorageはYDNの広告を掲載しており、YDNは4月20日、広告主が配信サイトを選べる「プレイスメントターゲティング機能」を追加。YDNの広告主は、配信された広告の実績を確認する「レポート機能」を通じて配信先WebサイトのURL別に確認できるようになっており、firestorageの無料・非登録ユーザーがアップロードしたファイルへのURLもレポート機能の対象となっていた。ITmedia

最近はちょっと容量が大きなファイルのやり取りはこうした無料のストレージサービスを利用するユーザーが多く、企業の社外秘データ等も割と安易にアップロードされている可能性がありそうですが、これはかなり怖い事例だなと見ていた訳ですね。
何を隠そう、弊社でも外部のデザイナーさんやプランナーさんに打診資料をお送りするとき、たまにfirestrage使ったりするんですが。便利ですけどね、あれ。

そうしたところが、今度はグローバルな規模で人気のクラウドストレージサービスでも似たようなセキュリティ問題が発生してしまいました。

Dropbox、Dropbox や Box にアップしたドキュメントが第三者に公開される？（ReadWrite Japan 2014/5/8）

上記記事では、どのようにして情報が漏洩されるか、この問題点を発見したセキュリティ対策企業によって説明されているので、その辺りに興味がある方は是非リンク先の記事をご覧いただければと思いますが、やはりアドネットワークなどにファイルのURLが送られてしまう可能性があったようです。

なお、気にしておきたいのは以下の一文です。

同じような脆弱性が、Google Drive や Microsoft OneDrive のような他のクラウド・ストレージサービスにも存在しているのかどうかは明らかになっていない。ReadWrite Japan

ですよねー。

なお、クラウドストレージ上のデータを複数ユーザーで共有するという行為が危険であるという見解は以下の記事でも触れられています。

「最も安全」とうたうクラウドストレージですら安全ではないことが判明（GIGAZINE 2014/5/3）

「クラウドサービス上でデータを共有すると、ユーザーの解読キーなしにシステム上でデータをやり取りできることになります。その場合、どのサービスも業者が顧客のデータにアクセスできる状態にありました」と報告する研究の第1著者デュアン・ウィルソン氏。これは「中間者攻撃」に類似しており、今のところ大きな問題は起きていませんが、ユーザーは常に攻撃を受ける可能性があるということ。研究監督のGiuseppe Ateniese准教授は、「クラウドサービスの提供側が顧客のデータにアクセスしているという証拠は出ていません。しかし、どんな安全なクラウドサービスでもユーザーが危険にさらされていることを伝えたかったのです」と警告しています。GIGAZINE

さて、今後もDropboxを使おうと考えているユーザーの場合、少なくとも以下の話は念頭に置いて利用すべきかとは思います。

Dropbox のブログを見る限り、同社は Intralinks が明らかにした脆弱性の一つ、「リファラーヘッダの問題」にしか取り組んでいないようだ。後にアップデートされた内容を見ると、アガワル（Dropboxエンジニアリング担当副社長：筆者追記）は次のように記載している。Dropbox は、ファイルの URL が検索エンジンを経由して漏洩し、アドネットワークに渡ってしまうことは認識している。しかしこの問題は「よくある」ことで、Dropbox はこれを「脆弱性だとは考えていない」。ReadWrite Japan

そうですか…なるほど、「よくある」ことなんですね……。

残念ながらクラウドストレージサービスにおいて絶対に情報漏洩は起こらないと断言することは不可能です。とりあえずクラウドストレージサービスを利用する場合には、何かの事故でそのファイルがネット上に漏洩しても困らないものしかアップしないというくらいに割り切って使う必要があるのかもしれません。

ここでmixiクラウドですよ